Oszustwa tego typu to wynik tzw. skimmingu. W dużym uproszczeniu polega on na zastąpieniu "dobrego" czytnika kart kredytowych czy debetowych takim, który będzie magazynował wszystkie informacje znajdujące się na karcie podczas jej odczytu. Nic nie działa tak dobrze na wyobraźnię, jak przykład z życia wzięty, a więc: na zdjęciu poniżej widać nakładkę zmodyfikowanego urządzenia oraz mikro kamerę ukrytą za plastikową osłonką znajdującą się bezpośrednio nad klawiaturą bankomatu. Informacja o tym bankomacie trafiła do policji na początku września 2008.

Na pierwszy rzut oka nic nie wzbudza podejrzeń.

Postaramy się przedstawić w jaki sposób możliwe jest modyfikowanie urządzeń czytających nasze karty, co powinno pozwolić na łatwiejsze rozpoznanie fałszywych terminali.

Organy ścigania twierdzą, że z przestępstwami skimmingowymi mieliśmy do czynienia od wielu lat, ale teraz ich liczba szybko rośnie. Korzystanie z plastikowego pieniądza na tyle spowszedniało, że wielu z nas uważa wypłacanie pieniędzy z bankomatów albo płacenie kartą w sklepie za zupełnie bezpieczną praktykę. W większości przypadków będzie to prawdą. Niestety, urządzenia wykradające informacje z kart (skimmery) coraz częściej montowane są w bankomatach, na bezobsługowych stacjach benzynowych, a nawet w sklepach.

Jak to działa?

Warto wiedzieć trochę o tym, w jaki sposób wygląda proces skimmingu. Po pierwsze, złodziej kupuje potrzebny sprzęt najczęściej w sklepach internetowych. Koszt takiego zestawu w Stanach Zjednoczonych do ok. 400 USD. Co ciekawe, sprzęt pochodzi w dużej mierze od producentów, którzy dostarczają podobne urządzenia uczciwym firmom. To prowadzi nas do pierwszego smutnego spostrzeżenia. Sprzedaż tego typu urządzeń nie jest w żaden sposób kontrolowana. Poniżej znajdziecie zdjęcia urządzeń, które stosowane są zgodnie z ich przeznaczeniem, ale z braku odpowiednich regulacji stają się także dostępne dla przestępców. Przykładowy zestaw zawiera zarówno czytnik, jak i urządzenie zapisujące. Żeby działać prawidłowo, czytnik musi zostać podłączony do portu USB. W dalszej części zobaczycie samowystarczalne i do tego mniejsze czytniki.

Pierwszą rzeczą kupowaną przez złodzieja jest skimmer, który jest zgodny z rodzajem urządzenia, które chce zaatakować. Następnie szybko montuje je np. w dystrybutorze na stacji benzynowej i podłącza do prawdziwego czytnika. Skimmer, który widzicie poniżej został znaleziony w ubiegłym roku po zdemaskowaniu szajki zajmującej się tym procederem na stacjach benzynowych w stanie Arizona. Typowy skimmer posiada czytnik kart magnetycznych i podręczną pamięć flash, na której przechowuje wszystkie wykradzione informacje. Zaawansowane urządzenia wyposażone są również w przekaźnik 3G i potrafią na bieżąco przesyłać gromadzone informacje poprzez sieć komórkową. Dzięki temu sprawca nie musi wracać po swoje urządzeni, co pozwala na ograniczenie ryzyka.

Kolejnym elementem na liście zakupów złodzieja jest albo mikro kamera albo nakładka na klawiaturę. Każdy z tych komponentów realizuje tą samą funkcję - pozwala na odczytanie numeru PIN. Kamera z reguły umieszczona jest tak, aby ręka nie zasłaniała widoku na klawiaturę. Niekoniecznie muszą być wbudowywane w sam bankomat, mogą również obserwować nas z pewnej odległości.

Jak wspomnieliśmy, podobną funkcję pełni nakładka na klawiaturę. Jest ona niezwykle cienka, a przy tym zarówno w dotyku, jak i wizualnie jest bardzo podobna do oryginału. Umieszczana jest bezpośrednio na prawdziwej klawiaturze. Zapisuje naciskane klawisze zachowując ich kolejność, a następnie zapisuje we własnej pamięci. Kiedy naciskamy na klawisz, fałszywa klawiatura przyciska klawisze prawdziwej klawiatury, a bankomat reaguje zupełnie normalnie na nasze działania.

Innym skimmerem, o którym trzeba wiedzieć jest samowystarczalny mikro skimmer. Tego typu urządzenia wykorzystywane są do kradzieży informacji jedynie z kart kredytowych, które nie wymagają podania PIN'u, a złożenia podpisu. Mikro skimmery mają rozmiar standardowej paczki gum do żucia i mogą być użyte przez kogokolwiek, komu powierzymy naszą kartę np. kelnerowi w restauracji. Dlatego też wszelkie płatności tego typu powinny być dokonywane w naszej obecności, a karty nie należy spuszczać z oczu.

Urządzenie przestawione poniżej wykorzystywane jest najczęściej w przekrętach wykorzystujących socjotechnikę. Wygląda dość niewinnie i umieszczane jest w pobliżu prawdziwego czytnika. Sprawca wabi do niego posiadacza karty naklejką, na której napisane jest coś w rodzaju "Czyszczenie kart magnetycznych. Wyczyść swoją kartę przed włożeniem do bankomatu - za darmo!".

Mam Cię!

Teraz, kiedy złodziej ma już wszystkie potrzebne dane może zacząć wykorzystywać je do przeprowadzania transakcji online, lub -co coraz częstsze - do wykonywania duplikatu karty. Ten ostatni krok wymaga posiadania odpowiedniego urządzenia zapisującego - tzw. MSR (Magnetic Stripe Reader-Writer). MSR pozwala na zapisanie dowolnych informacji na czystej karcie magnetycznej.

Na deser: bankomat powyżej również został poddany "tuningowi". Potraficie to rozpoznać?

Przestępstwa skimmingowe pojawiają się coraz częściej. Niestety świadomość ich rosnącej powszechności jest niewielka. Na szczęście ze skimmingiem można walczyć także przy pomocy środków prawnych. Polskie prawo uwzględniło karalność tego typu procederu formułując m.in. w Kodeksie Karnym art. 310, który za przerabianie albo podrabianie kart płatniczych przewiduje karę pozbawienia wolności od 5 do 25 lat. A czy Wy kiedykolwiek stanęliście oko w oko z przerobionym bankomatem?

***

Artykuł opracowany na podstawie materiałów IDG.