Специалист по информационной безопасности Брайан Кребс продемонстрировал новый вид скиммеров (устройств для кражи денег с карт), имитирующих переднюю панель банковского терминала, сообщает TechCrunch.
По словам Кребса, злоумышленники изготовили скиммеры из офисных телефонов Samsung, снабдив их полностью рабочей клавиатурой. Они устанавливаются на POS-терминалы для безналичной оплаты Ingenico и воруют как пароли от карт, так и данные с NFC-чипов бесконтактной оплаты. Владельцы супермаркета, в котором были установлены скиммеры, случайно обнаружили их, решив починить плохо работавшие банковские терминалы.
Информация о номере карты и введенном PIN-коде передается на смартфоны злоумышленников по Bluetooth. Это означает, что мошенники или сами находятся неподалеку, или прячут свои смартфоны рядом с терминалом.
В декабре 2016 года неизвестные хакеры установили скиммер на банкомат в одном из американских городов. Злоумышленники изготовили полноценную копию передней панели банкомата и снабдили ее рабочей клавиатурой и экраном. Это позволило им получать пароли от пластиковых карт и, вероятно, сканировать их для изготовления копий.
Отличить оригинальный платежный терминал от фальшивого можно по нескольким признакам, пишет Geektimes. Во-первых, накладка всегда больше самого терминала, однако покупатели и неопытные продавцы могут не заметить этого. Во-вторых, зачастую накладка закрывает светодиод, который загорается во время проведения оплаты. В-третьих, клавиши на фальшивом терминале светятся гораздо тусклее. Наконец, еще одно отличие заключается в том, что накладка блокирует электронный стилус, при помощи которого можно поставить подпись на сенсорном экране.
Аналитики EAST пишут, что угрозы связанные с вредоносным ПО и скиммерами тоже по-прежнему являются одной из наиболее актуальных проблем для индустрии. Так, количество случаев, связанных с различными видами высокотехнологичного мошенничества, возросло на 28%: в 2016 году уже произошло 10 820 подобных инцидентов, тогда как в 2015 году таковых насчитывалось 8 421. Общие потери банков, которые те несут из-за скиммеров, в 2016-м году составили приблизительно 174 млн евро, что на 12% выше показателя 2015 года, когда эта сумма равнялась 156 млн евро. Злоумышленники могут использовать смартфон и для кражи пин-кода карты. Для этого используются свободно продаваемые инфракрасные датчики и накладки для гаджетов на iOS и Android. Такие устройства позволяют сделать тепловое излучение видимым на дисплее смартфона. Вору достаточно подойти к терминалу или банкомату после того, как ничего не подозревающая жертва совершила платеж или сняла деньги. После ввода пин-кода, на клавиатуре терминала остаются тепловые следы, которые сохраняются в течение нескольких минут. Стоит отметить, что тепловой след имеет насыщенность, отражаемую цветом на тепловизоре. Это означает, что возможно не только обнаружить цифры кода, но и их последовательность.
Защитить себя от такого способа кражи денег с карты можно простым способом - необходимо во время ввода пин-кода положить пальцы другой руки на клавиатуру, таким образом создав множество тепловых отпечатков.
Конечно, изначально применение мобильного тепловизора для кражи кода банковских карт не задумывалось. В быту тепловизор будет полезен для поиска протечек, повреждений изоляции труб или стен, перегретых или, наоборот, переохлажденных элементов. На улице устройство можно использовать для ориентировки в темноте. Это может быть поход, рыбалка, или банальная прогулка по ночному парку. Каждое животное, находящееся поблизости, не говоря уже о человеке, будет выделяться на экране.