* ATM карти
Публикувано на 04 юни 2009 в раздел ОСУП.
ATM картите са по-добре познати в България като „карти за банкомат“. Те могат да бъдат дебитни или кредитни в зависимост от условията на договора ви с банката. Всички ATM карти поддържат международен стандарт ISO/IEC 7810 ID1, който дефинира размери от 85.60 × 53.98 милиметра. Този стандарт добавя и допълнителни характеристики като запалимост, токсичност и др.
В тази статия ще пиша главно относно начините за кражба на ATM карти. На първо време трябва да спомена, че има две възможности за изтегляне на пари от банкова карта – online и offline:
– Online тегленето на пари е най-познато – вкарвате дебитната си карта в устройство, което иска въвеждането на ваш секретен код (наречен PIN код). По този начин работят всички банкомати и повечето магазини. Предполагам, че повечето от вас са запознати с този метод на работа с ATM карти.
– Offline трансакциите дават възможност за изтегляне на пари от банкова карта без въвеждането на PIN код. Това може да стане както в магазин, така и по Интернет. Такива са картите VISA, Mastercard, American Express и др. За сигурността на трансакцията в самия магазин се разчита на записи от видео камери и директния контакт с продавача. За сигурността в Интернет нещата са по-сложни.
От гледна точка на сигурността offline трансакциите са изключително опасни. За осъществяване на трансакция чрез интернет дори не е нужно налично копие на самата карта – трябва единствено номера на картата и секретния трицифрен CVV код. Те за съжаление са отпечатани на самата пластика на картата. Използвайте такива карти само и единствено за пазаруване в Интернет и не ги носете за пазар в магазини, където евентуален мошеник може да добие физически достъп до вашата карта. Все пак в днешно време повечето банки изпращат автоматично СМС при регистрация на нова по-голяма трансакция – така потребителите имат възможност да реагират по-бързо и да блокират злонамерената кражба на пари от тяхната сметка.
Колкото до online трансакциите – там измамниците са затруднени. Освен физическо копие на вашата карта, на тях им е нужен и вашия PIN код. Как може да се случи това? Ще дам няколко примера от т.нар. „ATM skimming“ от банкомат. Снимките са взети от сайта на полицейското управление в Остин – Тексас:

Допълнително устройство
На горната снимка виждате как изглежда оригиналния процеп на банкомата. Устройството, което записва информацията от ATM картата е изключително тънко и трудно забележимо.

Устройсвото в действие
Виждате, че поставено на място то не подбужда сериозно съмнение. Нормален човек едва ли би забелязал, че има прикачено допълнително устройство.

Камера
Краденето на вашия PIN код е трудно, понеже е технически трудно да се дублира клавиатурата на банкомата (но не невъзможно). Затова по-честата практика е да се поставят безжични камери, насочени към клавиатурата.

ATM skimming в действие
Вие бихте ли се усъмнили в банкомата на горната снимка? В нормалния живот – по-скоро не. Истината е, че такива устройства се продават дори по интернет. Показаното по-горе е с „едри“ размери (размер normal, като има small и дори slim с големина не много по-голяма от процепа за самата карта). Ето един друг пример от центъра за сигурност на Commonwealth bank:
Колкото до заснемането и краденето на вашия PIN код – и тук има множество варианти:
Ето и как изглежда устройство за прихващане на PIN код от клавиатурата:
Кражбата на карти чрез банкомати обаче е по-малкото перо на проблема. Почти всички банкомати вече са оборудвани с видео наблюдение и се проверяват редовно от служители на банката. Банкоматите обикновено се използват в последствие – когато крадецът има копие на вашата карта и знае вашия PIN код. Спорен остава въпроса обаче, когато самите служители на банката са замесени в престъпна схема. Ето още няколко снимки на типичен ATM skimmer:
Не е изключено дори поставянето на цял фалшив банкомат. При поставяне на картата във фалшив банкомат и опит за изтегляне на пари (тоест въвеждане на PIN код), устройството връща картата и се извинява със съобщение, че „не може да извърши тази услуга в момента“. Истината е, че има дори регистрирани случай, в които фалшиви банкомати дават пари на хората, когато става въпрос за по-малки суми. Тези банкомати дефакто въобще не са свързани с общата банкова система и не правят никакво валидиране на вашия PIN код. Единствения начин да разберете, че сте били измамен е ако забележите, че никой не ви е взел пари от банковата сметка.
Най-масовият случай на кражба на ATM карти е в търговската мрежа. Има два начина – единият е чрез поставяне на четец върху истинско устройство (много подобно на представеното за банкомат по-горе, но по-миниатурно). Понякога измамниците дори правят цяла нова „опаковка“ на електрониката на истинското устройство така, че да може да се вкара допълнителното четящто устройство.
Другият начин е с конкретно фалшиво устройство – подобно на примера с фалшив банкомат, отново не ви взимат пари за покупката, но вашата информация за картата е открадната. Съмнение у вас може да се подбуди ако при по-голяма покупка жената на касата започне да се извинява, че устройството при нея не работи и ви моли да отидете на друг щанд (където е истинското устройство, което е легитимно). Това е така, защото при по-големи покупки измамниците излизат на загуба.
Друг изключително популярен начин е чрез така наречените „mobile ATM skimmers“. Това са миниатюрни устройсва, които измамникът държи в ръката си. Когато вие му подадете картата той я прекарва през устройството незабелязано, а после я слага в истинския апарат. В последствие ви гледа в ръцете, за да научи вашия PIN код. Ето как изглеждат няколко такива устройства (снимки от вече бившия сайт jheary.com):
За нещастие защитата от кражби в търговската мрежа е изключително трудна. Вярвате ли в честността на сервитьорката в ресторанта? А продавачката в магазина за обувки? Проблемът ще се задълбочава с все по-масовото използване на „електронни пари“. С днешното ниво на сигурност на ATM картите единственият начин да сте напълно убедени, че няма да откраднат пари от вас, е като редовно сменяте PIN кода си на банкомати, които познавате като сигурни. За съжаление това е изключително рядка практика при нормалния човек и затова се търсят по-иновативни решения. В по-следващи статии ще се запознаем с технически детайли за ATM картите и съвремените методи за защита на информацията в тях. Ефективна защита в бъдеще ще са ATM картите с чип, но това ще стане тогава, когато магнитната лента бъде напълно забравена.
Скоро ще пусна няколко допълнителни статии, с които ще покажа кои са новите методи на защита и какво трябва да изисквате от банката, когато ви издава ATM карта, за да се чувствате по-защитени…
Ми, то сега и от банкомати пари да не тегля, или пък да взема да ги оглеждам предварително. А като знам какво опашки се заформят някой път, може и да ме набият дето опипвам банкомата :)
Но, шегата настрана – много поучително четиво.
Само да не доведе до параноя? :)
Много полезно.
Благодаря.