C, PHP, VB, .NET

ATM картите са по-добре познати в България като „карти за банкомат“. Те могат да бъдат дебитни или кредитни в зависимост от условията на договора ви с банката. Всички ATM карти поддържат международен стандарт ISO/IEC 7810 ID1, който дефинира размери от 85.60 × 53.98 милиметра. Този стандарт добавя и допълнителни характеристики като запалимост, токсичност и др.

В тази статия ще пиша главно относно начините за кражба на ATM карти. На първо време трябва да спомена, че има две възможности за изтегляне на пари от банкова карта – online и offline:

- Online тегленето на пари е най-познато – вкарвате дебитната си карта в устройство, което иска въвеждането на ваш секретен код (наречен PIN код). По този начин работят всички банкомати и повечето магазини. Предполагам, че повечето от вас са запознати с този метод на работа с ATM карти.

- Offline транзакциите дават възможност за изтегляне на пари от банкова карта без въвеждането на PIN код. Това може да стане както в магазин, така и по Интернет. Такива са картите VISA, Mastercard, American Express и др. За сигурността на транзакцията в самия магазин се разчита на записи от видео камери и директния контакт с продавача. За сигурността в Интернет обаче няма сериозна защита.

От гледна точка на сигурността offline транзакциите са изключително опасни. За осъществяване на транзакция чрез интернет дори не е нужно налично копие на самата карта – трябва единствено номера на картата и секретния трицифрен CVV код. Те за съжаление са отпечатани на самата пластика на картата. Използвайте такива карти само и единствено за пазаруване в Интернет и не ги носете за пазар в магазини, където евентуален мошеник може да добие физически достъп до вашата карта.

Колкото до online транзакциите – там измамниците са затруднени. Освен физическо копие на вашата карта, на тях им е нужен и вашия PIN код. Как може да се случи това? Ще дам няколко примера от т.нар. „ATM skimming“ от банкомат. Снимките са взети от сайта на полицейското управление в Остин -  Тексас:

На горната снимка виждате как изглежда оригиналния процеп на банкомата. Устройството, което записва информацията от ATM картата е изключително тънко и трудно забележимо.

Виждате, че поставено на място то не подбужда сериозно съмнение. Нормален човек едва ли би забелязал, че има прикачено допълнително устройство.

Краденето на вашия PIN код е трудно, понеже е технически трудно да се дублира клавиатурата на банкомата (но не невъзможно). Затова по-честата практика е да се поставят безжични камери, насочени към клавиатурата.

Вие бихте ли се усъмнили в банкомата на горната снимка? В нормалния живот – по-скоро не. Истината е, че такива устройства се продават дори по интернет. Показаното по-горе е с „едри“ размери (размер normal, като има small и дори slim с големина не много по-голяма от процепа за самата карта). Ето един друг пример от центъра за сигурност на Commonwealth bank:

Друг пример за ATM skimmer

Колкото до заснемането и краденето на вашия PIN код – и тук има множество варианти:

Ето и как изглежда устройство за прихващане на PIN код от клавиатурата:

Кражбата на карти чрез банкомати обаче е по-малкото перо на проблема. Почти всички банкомати вече са оборудвани с видео наблюдение и се проверяват редовно от служители на банката. Банкоматите обикновено се използват в последствие – когато крадецът има копие на вашата карта и знае вашия PIN код. Спорен остава въпроса обаче, когато самите служители на банката са замесени в престъпна схема. Ето още няколко снимки на типичен ATM skimmer:

Типичен банкомат приличащ на българските

Ето как се заснема вашия PIN код

Устройството за запис на данните от картата изглежда съвсем достоверно

Още един пример

Не е изключено дори поставянето на цял фалшив банкомат. При поставяне на картата във фалшив банкомат и опит за изтегляне на пари (тоест въвеждане на PIN код), устройството връща картата и се извинява със съобщение, че „не може да извърши тази услуга в момента“. Истината е, че има дори регистрирани случай, в които фалшиви банкомати дават пари на хората, когато става въпрос за по-малки суми. Тези банкомати дефакто въобще не са свързани с общата банкова система и не правят никакво валидиране на вашия PIN код. Единствения начин да разберете, че сте били измамен е ако забележите, че никой не ви е взел пари от банковата сметка.

Най-масовият случай на кражба на ATM карти е в търговската мрежа. Има два начина – единият е чрез поставяне на четец върху истинско устройство (много подобно на представеното за банкомат по-горе, но по-миниатурно). Понякога измамниците дори правят цяла нова „опаковка“ на електрониката на истинското устройство така, че да може да се вкара допълнителното четящто устройство.

Другият начин е с конкретно фалшиво устройство – подобно на примера с фалшив банкомат, отново не ви взимат пари за покупката, но вашата информация за картата е открадната. Съмнение у вас може да се подбуди ако при по-голяма покупка жената на касата започне да се извинява, че устройството при нея не работи и ви моли да отидете на друг щанд (където е истинското устройство, което е легитимно). Това е така, защото при по-големи покупки измамниците излизат на загуба.

Друг изключително популярен начин е чрез така наречените „mobile ATM skimmers“. Това са миниатюрни устройсва, които измамникът държи в ръката си. Когато вие му подадете картата той я прекарва през устройството незабелязано, а после я слага в истинския апарат. В последствие ви гледа в ръцете, за да научи вашия PIN код. Ето как изглеждат няколко такива устройства (снимки от jheary.com):

За нещастие защитата от кражби в търговската мрежа е изключително трудна. Вярвате ли в честността на сервитьорката в ресторанта? А продавачката в магазина за обувки? Проблемът ще се задълбочава с все по-масовото използване на „електронни пари“. С днешното ниво на сигурност на ATM картите единственият начин да сте напълно убедени, че няма да откраднат пари от вас, е като редовно сменяте PIN кода си на банкомати, които познавате като сигурни. За съжаление това е изключително рядка практика при нормалния човек и затова се търсят по-иновативни решения. В по-следващи статии ще се запознаем с технически детайли за ATM картите и съвремените методи за защита на информацията в тях.