Sådan finder du og undgår kreditkortskummere

I det øjeblik, jeg begyndte alvorligt at bekymre mig om kreditkort- og betalingskortskummere, var det ikke, da hele min bankkonto blev overført til Tyrkiet, eller når jeg skulle erstatte et kreditkort tre gange på to måneder på grund af svigagtige afgifter. Det var, da jeg fik at vide, at det er lige så let at stjæle et kreditkortnummer som at tilslutte en magnetstrimmellæser til en computer og åbne en tekstbehandler. Hver stryg spredte kreditkortnummeret uden nogen ekstra opsætning krævet. Mere avancerede enheder til at stjæle dine oplysninger installeres af kriminelle direkte til pengeautomater og kreditkortlæsere. Disse kaldes skummere, og hvis du er forsigtig, kan du forhindre at blive offer for disse lumske enheder.

Hvad er skimmere?

Skemmere er i det væsentlige ondsindede kortlæsere knyttet til de rigtige betalingsterminaler, så de kan høste data fra enhver person, der stryger deres kort. Tyven er ofte nødt til at vende tilbage til den kompromitterede maskine for at hente filen, der indeholder alle de stjålne data, men med den information i hånden kan han oprette klonede kort eller bare bryde ind på bankkonti for at stjæle penge. Den måske mest uhyggelige del er, at skummere ofte ikke forhindrer pengeautomaten eller kreditkortlæseren i at fungere korrekt, hvilket gør dem sværere at opdage.

Klassiske skimming-angreb er her for at forblive og vil sandsynligvis fortsat være et problem, selv nu hvor bankerne har foretaget overgangen til EMV-chipkort, ifølge Stefan Tanase, en sikkerhedsforsker ved Kaspersky Lab. Selv hvis kortene har en chip, vil dataene stadig være på kortets magnetstrimmel for at være bagudkompatible med systemer, der ikke kan håndtere chippen, fortalte han os. Selv nu, længe efter den amerikanske udrulning af EMV-kort, kræver nogle købmænd stadig kunder at bruge magstripe.

Den typiske ATM-skimmer er en lille enhed, der passer til en eksisterende kortlæser. Det meste af tiden vil angribere også placere et skjult kamera et eller andet sted i nærheden for at registrere personlige identifikationsnumre eller PIN-koder, der bruges til at få adgang til konti. Kameraet kan være i kortlæseren, monteret øverst på ATM'en eller endda i loftet. Nogle kriminelle installerer en forfalskning af PIN-koder over de faktiske tastaturer for at fange pinkoden direkte ved at omgå behovet for et kamera.

Ovenstående billede er en skimmer i det virkelige liv, der bruges på en hæveautomat. Ser du den underlige, voluminøse gule bit? Det er skimmeren. Denne er let at se, fordi den har en anden farve og materiale end målmaskinen, men der er andre fortællende tegn. Under spalten, hvor du indsætter dit kort, er hævede pile indlejret i maskinens plastikhus. Du kan se, hvordan de grå pile er meget tæt på det gule læserhus, næsten overlappende. Det er et tegn på, at en skimmer blev installeret over den eksisterende, da den rigtige kortlæser ville have noget mellemrum mellem kortspalten og pilene.

Fra skimmere til skimmer

Da de amerikanske banker endelig fik fanget resten af ​​verden og begyndte at udstede chipkort, var det en stor sikkerhed for forbrugerne. Disse chipkort eller EMV-kort tilbyder mere robust sikkerhed end de smertefulde enkle magstripes fra ældre kreditkort. Men tyve lærer hurtigt og havde år med at perfektionere angreb i Europa og Canada, der er målrettet mod chipkort.

I stedet for skummere, der sidder på toppen af ​​magstripe-læserne, er skimmer inde i kortlæserne. Dette er meget, meget tynde enheder og kan ikke ses udefra. Når du skubber dit kort ind, læser shimmeren dataene fra chippen på dit kort, på samme måde som en skimmer læser dataene på dit korts magstripe.

Der er dog et par centrale forskelle. For det første betyder den integrerede sikkerhed, der følger med EMV, at angribere kun kan få de samme oplysninger, som de ville få fra en skimmer. På sin blog forklarer sikkerhedsforsker Brian Krebs, at "data indsamlet af skimmere ikke kan bruges til at fremstille et chipbaseret kort, men de kan bruges til at klone et magnetstripekort. Selvom de data, der typisk er gemt på et korts magnetiske stripe replikeres inde i chippen på chipaktiverede kort, chippen indeholder yderligere sikkerhedskomponenter, der ikke findes på en magnetstripe."

Det virkelige problem er, at skimmer er meget sværere at få øje på, fordi de sidder inde i pengeautomater eller salgssteder. Den skimmer, der er afbildet nedenfor, blev fundet i Canada og rapporteret til RCMP. Det er lidt mere end et integreret kredsløb, der er trykt på et tyndt plastikark. Hvis ejere af den kompromitterede enhed ikke havde været omhyggelig, kunne dette have stjålet oplysningerne fra alle, der brugte den.

ATM-producenter har ikke taget denne form for svindel liggende. Nyere pengeautomater kan prale af robuste antikontrolanordninger, undertiden inklusive radarsystemer beregnet til at detektere genstande, der er indsat eller knyttet til ATM'en. En forsker på sikkerhedskonferencen Black Hat var imidlertid i stand til at bruge en pengeautomatens radarapparat ombord til at fange PIN-koder som en del af en detaljeret fidus.

Truslerne er virkelige og udvikler sig; Derfor er det så vigtigt at give enhver ATM eller kreditkortlæser en hurtig check, før du bruger den.

Kontroller, om der er forvirring

Når du nærmer dig en ATM, skal du kontrollere, om der er nogle åbenlyse tegn på manipulation øverst på ATM, nær højttalerne, siden af ​​skærmen, selve kortlæseren og tastaturet. Hvis noget ser anderledes ud, såsom en anden farve eller materiale, grafik, der ikke er justeret korrekt, eller noget andet, der ikke ser rigtigt ud, skal du ikke bruge denne ATM. Det samme gælder kreditkortlæsere ved kassen eller på tankstationer.

Hvis du er i banken, er det en god ide at hurtigt kigge på pengeautomaten ved siden af ​​din og sammenligne dem. Hvis der er nogen åbenlyse forskelle, skal du ikke bruge en af ​​dem og rapportere den mistænkelige manipulation til din bank. For eksempel, hvis den ene ATM har en blinkende kortindgang for at vise, hvor du skal indsætte ATM-kortet, og den anden ATM har en almindelig læserplads, ved du, at der er noget galt. De fleste skimmere er limet oven på den eksisterende læser og vil skjule den blinkende indikator.

Hvis tastaturet ikke føles rigtigt - for tykt, måske - kan der være en overlejring med PIN-kode, så brug ikke det.

Wiggle alt

Selv hvis du ikke kan se nogen visuelle forskelle, skal du skubbe på alt, sagde Tanase. Pengeautomater er solidt konstrueret og har generelt ikke løse dele. Kreditkortlæsere har mere variation, men stadig: Træk i fremspringende dele som kortlæser. Se om tastaturet er sikkert fastgjort og kun et stykke. Bevæger sig noget, når du skubber på det?

Skemmere læser den magnetiske stribe, når kortet indsættes, så giv kortet en smule vigle, som du lægger det i, rådede Tanase. Læseren har brug for striben for at gå i en enkelt bevægelse, for hvis den ikke er lige ind, kan den ikke læse dataene korrekt. Hvis ATM er den slags, hvor det tager kortet og returnerer det i slutningen af ​​transaktionen, er læseren på indersiden. Wiggling kortet, når du indtaster det i slotten, vil ikke forstyrre din transaktion, men vil folie skimmeren.

Denne taktik fungerer ikke på skimmer, og den fungerer ikke med nogen pengeautomat, der fanger og holder dit kort, mens din transaktion er i gang. Der er dog stadig måder at beskytte dig selv når du bruger disse maskiner.

Tænk gennem dine trin

Hver gang du indtaster PIN-koden til dit betalingskort, skal du antage, at der er nogen, der kigger. Måske er det over din skulder eller gennem et skjult kamera. Dæk tastaturet med din hånd, når du indtaster din pinkode, sagde Tanase. Det er en god politik, selvom du ikke bemærker noget mærkeligt ved pengeautomaten. Det er vigtigt at få PIN-koden, da de kriminelle ikke kan bruge de stjålne magnetstripedata uden den, fortalte Tanase os. Det antager naturligvis, at angriberen bruger et kamera og ikke et overlay for at få din pinkode.

Kriminelle installerer ofte skimmere på pengeautomater, der ikke er placeret i alt for travle placeringer, da de ikke ønsker at blive observeret ved installation af ondsindet hardware eller indsamling af de høstede data. Pengeautomaterne i bankerne er generelt sikrere på grund af alle kameraer, selvom nogle dristige kriminelle stadig lykkes med at installere dem der. Pengeautomaten i en købmand eller restaurant er generelt sikrere end den, der er uden for på fortovet. Stop og overvej sikkerheden på ATM'en, før du bruger den.

Når det er sagt, er intet sted sikkert fra en initiativrig kriminel. Tag f.eks. Denne video. Tyven installerer en skimmer på salgsstedet i et købmand på få sekunder.

Chancerne for at blive ramt af en skimmer er større i weekenden end i ugen, da det er sværere for kunderne at rapportere de mistænkelige pengeautomater til banken. Kriminelle installerer typisk skimmere på lørdage eller søndage og fjerner dem derefter, før bankerne åbner igen mandag.

Når det er muligt, skal du ikke bruge dit korts magstripe til at udføre transaktionen. For kreditkortlæsere i butikkerne skal du føle dig under PIN-koden for at få en plads til at indsætte dit kort og dets EMV-chip, der skal læses. Når du bruger din EMV-chip, er kortet autoriseret på enheden, og dine personlige oplysninger overføres aldrig. Dette tvinger kriminelle til at angribe den indre funktion af EMV-aktiverede læsere. Selvom det er muligt at knække EMV-læsere, er det meget sværere end magstripe-skimming.

Hvis kreditkortterminalen accepterer NFC-transaktioner, skal du overveje at bruge Apple Pay, Samsung Pay eller Android Pay. Disse tjenester symboliserer dine kreditkortoplysninger, så dine personlige oplysninger udsættes aldrig. Hvis en kriminel på en eller anden måde opfanger oplysningerne, får han kun et nytteløst virtuelt kreditkortnummer. Bemærk, at på visse enheder kan Samsung Pay faktisk efterligne en magstripe-transaktion, hvis du holder din telefon over kortlæseren. Dette er meget mere sikkert end at bruge dit faktiske kreditkort.

Et scenario, der ofte kræver brug af din magstripe, er at betale for brændstof ved en gaspumpe. Disse er almindelige for angreb, fordi mange endnu ikke understøtter EMV- eller NFC-transcationer, og fordi angribere kan få adgang til pumperne uden at blive bemærket. Det er meget mere sikkert at gå ind og betale kassereren. Hvis der ikke er en kasserer på vagt, skal du bruge de samme tip til brug af pengeautomater og undersøge kortlæseren, før du bruger den.

Digitale angreb og løsninger

Det nylige British Airways-hack introducerede et nyt koncept: Skimmer for digitalt kort. I stedet for en fysisk enhed til at fange dine kortoplysninger, eller et falske phishing-websted, der narrer dig til at indtaste dine data, er en digital skimmer ondsindet software, der indsprøjtes på et legitimt websted.

Bekæmpelse af denne type angreb er i sidste ende op til virksomhederne for at sikre, at deres websteder og tjenester er sikre. Men der er et par ting, som forbrugerne kan gøre for at beskytte sig selv. En mulighed er at bruge virtuelle kreditkort. Dette er dummy kreditkortnumre, der er knyttet til din rigtige kreditkortkonto. Hvis et er kompromitteret, behøver du ikke at få et nyt kreditkort, bare generere et nyt virtuelt nummer. Nogle banker, som Citi, tilbyder dette som en funktion, så spørg dine, om det er tilgængeligt.

Hvis du ikke kan få et virtuelt kort fra en bank, tilbyder Abine Blur maskerede kreditkort til abonnenter. Dette er forudbetalte kreditkort, som du kan oprette undervejs og bruge til online køb. Abine leverer endda et forkert navn og en faktureringsadresse til brug, hvilket yderligere forklarer dine personlige oplysninger. Hvis en af ​​disse er udsat, mister du ikke penge eller private oplysninger.

En anden mulighed er at tilmelde dig kortvarsler. Ally Bank, for eksempel, sender en push-alarm til din telefon, hver gang dit betalingskort bruges. Dette er praktisk, da du straks kan identificere falske køb. Hvis din bank leverer en lignende mulighed, kan du prøve at tænde den.

Bliv opmærksom

Hvis du ikke bemærker en kortskimmer, og dine kortdata bliver stjålet, skal du tage hjertet. Så længe du rapporterer tyveriet til din kortudsteder (for kreditkort) eller bank (hvor du har din konto) så hurtigt som muligt, vil du ikke blive holdt ansvarlig for det tabte beløb, og dine penge vil blive returneret. Forretningskunder har på den anden side ikke den samme juridiske beskyttelse og kan have det sværere med at få deres penge tilbage.

Prøv også at bruge et kreditkort, når det er muligt. En debettransaktion er en øjeblikkelig kontantoverførsel og kræver, at der stilles et FDIC-krav, der kan tage uger at blive behandlet. Kreditkorttransaktioner kan til enhver tid stoppes og tilbageføres, og ved at gøre det presses de handlende for bedre at sikre deres pengeautomater og salgssteder.

Rettidig rapportering er meget vigtig i tilfælde af svig, så sørg for at holde øje med dine betalingskort og kreditkorttransaktioner. Personlige økonomi-apps som Mint.com kan hjælpe med at lette opgaven med at sortere gennem alle dine transaktioner.

• Abine Blur Premium Abine Blur Premium
• Feds advarer om 'Jackpotting' ATM-hacks i USA Feds advarer om 'jackpotting' ATM-hacks i USA
• Se en kortskimmer installeres i sekunder Se en kortskimmer installeres i sekunder

Til sidst skal du være opmærksom på din telefon. Banker og kreditkortselskaber har generelt meget aktive svigpolitikker og vil straks kontakte dig, normalt via telefon eller SMS, hvis de bemærker noget mistænkeligt. At svare hurtigt kan betyde at stoppe angreb, før de kan påvirke dig, så hold din telefon praktisk.

Bare husk: Hvis noget ikke føles rigtigt ved en hæveautomat eller en kreditkortlæser, skal du bare ikke bruge det. Når du kan, skal du bruge chippen i stedet for strimlen på dit kort. Din bankkonto vil takke dig.