クレジットカードスキマーは、犯罪者が決済端末に接続する悪意のあるデバイスです。最も一般的なのは、ATMやガソリンポンプです。このような方法で侵害された端末を使用すると、スキマーはカードのコピーを作成し、PINを取得します(ATMカードの場合)。
ATMやガソリンポンプを使用する場合は、これらの攻撃に注意する必要があります。適切な知識があれば、ほとんどのスキマーを見つけるのは実際には非常に簡単です。ただし、他のすべての場合と同様に、これらのタイプの攻撃はさらに高度になっています。
スキマーのしくみ
スキマーには、伝統的に2つのコンポーネントがあります。 1つ目は、通常、カードスロットに挿入される小さなデバイスです。カードを挿入すると、デバイスはカードの磁気ストリップにデータのコピーを作成します。カードはデバイスを通過してマシンに入るので、すべてが正常に機能しているように見えますが、カードデータはコピーされたばかりです。
デバイスの2番目の部分はカメラです。小さなカメラは、キーパッドが見える場所に配置されています。おそらく、ATMの画面の上部、テンキーのすぐ上、またはパッドの側面にあります。カメラはキーパッドに向けられており、PINの入力をキャプチャします。端末は引き続き正常に機能しますが、攻撃者はカードの磁気ストリップをコピーしてPINを盗んだだけです。
攻撃者はこのデータを使用して、磁気ストライプデータを使用して偽のカードをプログラムし、他のATMで使用して、PINを入力し、銀行口座からお金を引き出すことができます。
とはいえ、スキマーもますます洗練されてきています。カードスロットに取り付けられたデバイスの代わりに、スキマーはカードスロット自体に挿入された小さくて目立たないデバイスである場合があります。 きらめき 。
攻撃者は、カメラをキーパッドに向ける代わりに、オーバーレイ(実際のキーパッドに取り付けられた偽のキーボード)を使用している可能性もあります。偽のキーパッドのボタンを押すと、押したボタンがログに記録され、その下にある実際のボタンが押されます。これらは検出が困難です。カメラとは異なり、PINをキャプチャすることも保証されています。
スキマーは通常、キャプチャしたデータをデバイス自体に保存します。犯罪者は戻ってきてスキマーを回収し、キャプチャしたデータを取得する必要があります。ただし、現在、より多くのスキマーがこのデータをワイヤレスで送信しています ブルートゥース またはセルラーデータ接続ですら。
クレジットカードスキマーを見つける方法
カードスキマーを見つけるためのいくつかの秘訣は次のとおりです。すべてのスキマーを見つけることはできませんが、お金を引き出す前に必ずざっと見て回る必要があります。
- カードリーダーを揺さぶる :カードリーダーを手で揺らそうとしたときに動き回る場合は、何かがおかしい可能性があります。実際のカードリーダーは、端末が動かないようにしっかりと接続する必要があります。カードリーダーに重ねられたスキマーが動き回る可能性があります。
- ターミナルを見てください :決済端末自体をざっと見てください。何かが少し変わっているように見えますか?おそらく、下部パネルは、実際の下部パネルとキーパッドの上に配置された偽のプラスチック片であるため、マシンの他の部分とは異なる色になっています。おそらく、カメラを含む奇妙なオブジェクトがあります。
- キーパッドを調べる :キーパッドは少し厚すぎますか、それとも以前にマシンを使用したことがある場合の通常の外観とは異なりますか?これは、実際のキーパッドのオーバーレイである可能性があります。
- カメラを確認してください :攻撃者がカメラを隠す可能性のある場所(画面やキーパッドの上の場所、またはマシンのパンフレットホルダー内)を検討してください。
- Android用スキマースキャナーを使用する: Androidスマートフォンを使用している場合は、という優れた新しいツールがあります スキマースキャナー 近くのBluetoothデバイスをスキャンし、市場で最も一般的なスキマーを検出します。絶対確実というわけではありませんが、Bluetoothを介してデータを送信する最新のスキマーを見つけるための優れたツールです。
カードリーダーが動く、隠しカメラ、キーパッドオーバーレイなど、深刻な問題を見つけた場合は、端末を担当する銀行または企業に必ず警告してください。そしてもちろん、何かが正しくないと思われる場合は、別の場所に移動してください。
あなたが取るべき他の基本的なセキュリティ予防策
カードリーダーを揺らそうとするようなトリックで、一般的で安価なスキマーを見つけることができます。ただし、決済端末を使用する際に身を守るために常に行うべきことは次のとおりです。
- 手でPINを保護する :端末にPINを入力するときは、PINパッドを手でシールドしてください。はい、これはキーパッドオーバーレイを使用する最も洗練されたスキマーからあなたを保護しませんが、カメラを使用するスキマーに遭遇する可能性がはるかに高くなります。犯罪者が購入するのははるかに安価です。これは、身を守るために使用できる一番のヒントです。
- 銀行口座の取引を監視する :オンラインで銀行口座とクレジットカード口座を定期的に確認する必要があります。疑わしい取引を確認し、できるだけ早く銀行に通知してください。これらの問題をできるだけ早くキャッチしたいと考えています。犯罪者が口座からお金を引き出してから1か月後に、銀行から印刷された明細書が郵送されるまで待ってはいけません。のようなツール みんt。こm -または銀行が提供する可能性のあるアラートシステム-もここで役立ち、異常なトランザクションが発生したときに通知します。
- 非接触型決済システムを使用する: 該当する場合は、AndroidPayやApplePayなどの非接触型決済ツールを使用して身を守ることもできます。これらは両方とも本質的に安全であり、あらゆる種類のスワイプシステムを完全にバイパスするため、カード(およびカードデータ)が実際に端末の近くに到達することはありません。残念ながら、ほとんどのATMはまだ非接触型の引き出し方法を受け入れていませんが、少なくともこれはガスポンプでますます一般的になっています。
業界はソリューションに取り組んでいます…ゆっくりと
スキマー業界が常に情報を盗むための新しい方法を模索しているように、クレジットカード業界はデータを安全に保つための新しいテクノロジーを推進しています。ほとんどの企業は最近に切り替えました EMVチップ 、カードデータの複製が非常に難しいため、カードデータを盗むことはほとんど不可能です。
問題は、ほとんどのカード会社や銀行がこの新しいテクノロジーをカードに採用するのはかなり早いのですが、多くのカードリーダー(決済端末、ATMなど)は従来のスワイプ方法を使い続けていることです。これらの種類のシステムがまだ実施されている限り、スキマーは常にリスクになります。今日まで、スキマーが取り付けられる可能性が最も高い、チップシステムを利用する単一のATMまたはガスポンプターミナルを見たとは言えません。 2018年に移行するにつれ、決済端末でのチップシステムの生産性が向上することを願っています。
ただし、それまでは、この部分にある手順を使用して、可能な限り身を守ることができます。私が言ったように、それは絶対確実ではありませんが、あなたができることをすることはあなたのデータとあなたの財政を保護するのを助けるでしょう。決して悪い考えではありません。
この恐ろしいトピックの詳細について、または関連するすべてのスキミングハードウェアの写真を確認するには、チェックアウトしてください。 ブライアンクレブスのスキマーズシリーズのすべて クレブスオンセキュリティで。この時点では少し古く、記事の多くは2010年にさかのぼりますが、それでもすべて今日の攻撃に非常に関連しているため、興味がある場合は読む価値があります。
画像クレジット: FlickrのAaronPoffenberger 、 Flickrのニックv
