家方法クレジットカードスキマーを見つけて回避する方法

クレジットカードスキマーを見つけて回避する方法

2024

ビデオ: æ¿€ãƒ‰ã‚ã€€ãƒ©ãƒ³ãƒ•ã‚¡ãƒ³ã€€æ‰‹ã‚³ã‚.wmv (九月 2024)

クレジットカードとデビットカードのスキマーについて真剣に心配し始めたのは、銀行口座全体がトルコに送金されたときや、不正請求のために2か月に3回クレジットカードを交換しなければならなかったときではありませんでした。クレジットカード番号を盗むことは、磁気ストリップリーダーをコンピューターに接続してワードプロセッサを開くのと同じくらい簡単であることがわかりました。スワイプするたびにクレジットカード番号が吐き出され、追加のセットアップは不要です。情報を盗むためのより高度なデバイスは、犯罪者によってATMやクレジットカードリーダーに直接インストールされます。これらはスキマーと呼ばれ、注意すれば、これらの陰湿なデバイスの被害に遭わないようにすることができます。

スキマーとは

スキマーは、カードをスワイプするすべての人からデータを収集できるように、本質的に実際の支払い端末に接続された悪意のあるカードリーダーです。泥棒は多くの場合、侵害されたマシンに戻ってすべての盗まれたデータを含むファイルを取得する必要がありますが、その情報を手に入れて、クローンカードを作成したり、銀行口座に侵入してお金を盗むことができます。恐らく最も恐ろしいのは、スキマーがATMまたはクレジットカードリーダーの適切な機能を妨げないため、検出が難しくなることです。

Kaspersky Labのセキュリティ研究者であるStefan Tanaseによると、古典的なスキミング攻撃はここにとどまり、銀行がEMVチップカードへの移行を行った今でも引き続き問題になりそうです。カードにチップがあっても、チップを処理できないシステムとの下位互換性を保つために、データは引き続きカードの磁気ストリップ上にあると彼は語った。今でも、EMVカードの米国での展開からずっと後、一部の商人は顧客に磁気ストライプを使用することを要求しています。

典型的なATMスキマーは、既存のカードリーダーに適合する小さなデバイスです。ほとんどの場合、攻撃者は、アカウントへのアクセスに使用される暗証番号またはPINを記録するために、近くのどこかに隠しカメラを配置します。カメラは、カードリーダー内、ATMの上部、または天井に取り付けられている場合があります。一部の犯罪者は、実際のキーボードに偽のPINパッドを取り付けて、カメラを使用せずにPINを直接キャプチャします。

上の写真は、ATMで使用されている実際のスキマーです。奇妙でかさばった黄色のビットが見えますか？それがスキマーです。これは、ターゲットマシンとは異なる色と素材を持っているため、簡単に見つけることができますが、他のはっきりした兆候があります。カードを挿入するスロットの下には、機械のプラスチックケースに埋め込まれた盛り上がった矢印があります。灰色の矢印が黄色のリーダーハウジングに非常に近く、ほぼ重なっていることがわかります。実際のカードリーダーにはカードスロットと矢印の間にスペースがあるため、これは既存のスキマーの上にスキマーが取り付けられたサインです。

スキマーからシマーへ

米国の銀行がようやく世界の残りの部分に追いつき、チップカードの発行を開始したとき、それは消費者にとって大きなセキュリティ上の恩恵でした。これらのチップカード、またはEMVカードは、古いクレジットカードの非常に単純なマグストライプよりも堅牢なセキュリティを提供します。しかし、泥棒はすぐに習得し、ヨーロッパやカナダでチップカードを標的とする攻撃を完璧にするまで何年もかかりました。

磁気ストライプリーダーの上にあるスキマーの代わりに、カードリーダーの内側に光りがあります。これらは非常に薄いデバイスであり、外部からは見ることができません。カードをスライドさせると、スキマーがカードのチップからデータを読み取ります。これは、スキマーがカードの磁気ストライプのデータを読み取るのとほぼ同じです。

ただし、いくつかの重要な違いがあります。 1つは、EMVに付属する統合セキュリティは、攻撃者がスキマーから取得するのと同じ情報しか取得できないことを意味します。セキュリティ研究者のブライアンクレブスは、ブログで「きらめきによって収集されたデータはチップベースのカードの製造には使用できませんが、磁気ストライプカードの複製には使用できます。通常、カードの磁気ストライプに格納されるデータチップ対応カードのチップ内部で複製されます。チップには、磁気ストライプにはない追加のセキュリティコンポーネントが含まれています。」

本当の問題は、揺らめきがATMやPOSマシンの内部にあるため、見つけにくいということです。下の写真の揺らめきはカナダで発見され、RCMPに報告されました。薄いプラスチックシートに印刷された集積回路にすぎません。侵害されたデバイスの所有者が注意を払っていなかった場合、これはそれを使用したすべての人から情報を盗んだ可能性があります。

ATMメーカーは、この種の詐欺を横取りしていません。新しいATMには、ATMに挿入または接続されたオブジェクトを検出するためのレーダーシステムを含むことがある、強力な改ざん防止デバイスが備わっています。しかし、Black Hatセキュリティ会議のある研究者は、ATMのオンボードレーダーデバイスを使用して、巧妙な詐欺の一環としてPINをキャプチャすることができました。

脅威は現実的で進化しています。そのため、使用する前にATMまたはクレジットカードリーダーに簡単なチェックを行うことが非常に重要です。

改ざんの確認

ATMに近づくときは、ATMの上部、スピーカー、画面の側面、カードリーダー自体、およびキーボードの近くで、明らかな改ざんの兆候がないか確認してください。色や素材の違い、グラフィックが正しく配置されていないなど、何かが違って見える場合は、そのATMを使用しないでください。チェックアウトラインまたはガソリンスタンドのクレジットカードリーダーにも同じことが言えます。

銀行にいる場合は、すぐにATMを調べて比較することをお勧めします。明らかな違いがある場合は、どちらも使用せずに、疑わしい改ざんを銀行に報告してください。たとえば、1つのATMにATMカードを挿入する場所を示す点滅するカードエントリがあり、もう1つのATMにプレーンリーダースロットがある場合、何かが間違っていることがわかります。ほとんどのスキマーは、既存のリーダーの上に接着されており、点滅するインジケーターを覆い隠します。

キーボードが適切に感じられない場合（おそらく厚すぎる）、PINスナッチオーバーレイがある可能性があるため、使用しないでください。

Wiggle Everything

たとえ視覚的な違いが見えなくても、すべてをプッシュしてください、と棚瀬は言いました。 ATMはしっかりと構築されており、一般的に緩い部品はありません。クレジットカードリーダーにはさらにバリエーションがありますが、それでもカードリーダーのような突出した部分を引っ張ってください。キーボードがしっかりと接続されており、1つだけかどうかを確認します。押すと何か動きますか？

スキマーは、カードが挿入されると磁気ストライプを読み取るため、カードを挿入する際にカードを少し動かします、と棚瀬はアドバイスしました。リーダーは、ストライプが単一の動きで移動する必要があります。これは、まっすぐに入らないと、データを正しく読み取ることができないためです。 ATMがカードを受け取り、トランザクションの終了時にカードを返す種類の場合、リーダーは内側にいます。スロットにカードを入れるときにカードを動かしても、トランザクションは妨げられませんが、スキマーは機能しなくなります。

この戦術はきらめきでは機能せず、取引の進行中にカードをキャプチャして保持するATMでは機能しません。ただし、これらのマシンを使用するときに自分を守る方法はまだあります。

あなたのステップを熟考する

デビットカードのPINを入力するたびに、誰かが探していると想定してください。たぶんそれはあなたの肩の上にあるか、隠されたカメラを通してです。 PINを入力するときは、キーパッドを手で覆ってください、と棚瀬は言いました。 ATMについて奇妙なことに気付かなくても、それは良いポリシーです。犯罪者は盗まれた磁気ストライプデータをそれなしでは使用できないため、PINの取得は不可欠です、とTanase氏は語りました。もちろん、これは攻撃者がオーバーレイではなくカメラを使用してPINを取得していることを前提としています。

犯罪者は、悪意のあるハードウェアのインストールや収集されたデータの収集を監視したくないため、頻繁に忙しい場所にないATMにスキマーをインストールすることがよくあります。銀行内のATMは、すべてのカメラのために一般的に安全ですが、大胆な犯罪者の中にはまだそこに設置することに成功している人もいます。食料品店やレストラン内のATMは、一般的に歩道の外にあるATMよりも安全です。停止して、使用する前にATMの安全性を考慮してください。

とはいえ、進取の行き届いた犯罪者から安全な場所はありません。たとえば、このビデオをご覧ください。泥棒は、数秒で食料品店内のPOSユニットにスキマーを取り付けます。

顧客が銀行に疑わしいATMを報告することは難しいため、スキマーに襲われる可能性は、週末よりも週末のほうが高くなります。犯罪者は通常、土曜日または日曜日にスキマーを設置し、月曜日に銀行が再開する前にそれらを取り外します。

可能な限り、カードの磁気ストライプを使用してトランザクションを実行しないでください。店舗のクレジットカードリーダーの場合、PINパッドの下にあるスロットに触って、カードとそのEMVチップを挿入します。 EMVチップを使用する場合、カードはデバイスで認証され、個人情報は送信されません。これにより、犯罪者はEMV対応リーダーの内部動作を攻撃するように強制されます。 EMVリーダーをクラックすることは可能ですが、マグストライプスキミングよりもはるかに困難です。

クレジットカード端末がNFCトランザクションを受け入れる場合、Apple Pay、Samsung Pay、またはAndroid Payの使用を検討してください。これらのサービスはクレジットカード情報をトークン化するため、個人情報が公開されることはありません。犯罪者が何らかの方法で情報を傍受した場合、彼は無用の仮想クレジットカード番号のみを取得します。一部のデバイスでは、カードリーダーに携帯電話をかざすと、Samsung Payが実際に磁気ストライプトランザクションをエミュレートできることに注意してください。これは、実際のクレジットカードを使用するよりもはるかに安全です。

多くの場合、磁気ストライプを使用する必要があるシナリオの1つは、ガスポンプで燃料を支払うことです。多くはまだEMVまたはNFCのトランザクションをサポートしていないため、攻撃者は気付かれることなくポンプにアクセスできるため、これらは攻撃に満ちています。中に入ってレジに支払う方がはるかに安全です。出納係がいない場合は、ATMの使用と同じヒントを使用し、使用する前にカードリーダーを調べます。

デジタル攻撃とソリューション

最近のブリティッシュエアウェイズのハックは、デジタルカードスキマーという新しいコンセプトを導入しました。カード情報をキャプチャする物理的なデバイスや、データを入力させる偽のフィッシングWebサイトの代わりに、デジタルスキマーは正当なWebサイトに挿入される悪意のあるソフトウェアです。

この種の攻撃との闘いは、最終的には企業がサイトとサービスの安全性を確保するかどうかにかかっています。しかし、消費者が自分自身を守るためにできることはいくつかあります。 1つのオプションは、仮想クレジットカードを使用することです。これらは、実際のクレジットカードアカウントにリンクされているダミーのクレジットカード番号です。侵害された場合、新しいクレジットカードを取得する必要はなく、新しい仮想番号を生成するだけです。シティなどの一部の銀行は、これを機能として提供しているので、利用可能かどうかを尋ねます。

銀行から仮想カードを取得できない場合、Abine Blurは加入者にマスクされたクレジットカードを提供します。これらは、オンザフライで作成し、オンライン購入に使用できるプリペイドクレジットカードです。 Abineは、使用する偽の名前と請求先住所も提供し、さらに個人情報を偽装します。これらのいずれかが公開されても、お金や個人情報を失うことはありません。

別のオプションは、カードアラートに登録することです。たとえば、Ally Bankは、デビットカードが使用されるたびにプッシュアラートを電話に送信します。偽の購入をすぐに識別できるため、これは便利です。銀行が同様のオプションを提供している場合は、オンにしてみてください。

気をつけて

カードスキマーに気付かず、カードデータが盗まれた場合は、気をつけてください。盗難をカード発行会社（クレジットカードの場合）または銀行（アカウントを持っている場所）にできるだけ早く報告する限り、紛失した金額に対する責任は負わず、返金されます。一方、企業顧客は同じ法的保護を受けておらず、お金を取り戻すのに苦労するかもしれません。

また、可能な限りクレジットカードを使用するようにしてください。借方取引は即時の現金振替であり、処理に数週間かかることがあるFDICクレームを行う必要があります。クレジットカードの取引はいつでも停止および取り消しできます。そのため、商人はATMとPOS端末のセキュリティを強化する必要があります。

詐欺の場合にはタイムリーな報告が非常に重要なので、デビットカードとクレジットカードの取引に注意してください。 Mint.comのような個人金融アプリは、すべてのトランザクションをソートするタスクを容易にするのに役立ちます。