дампы кредитных карт что это
Дамп кредитной карты
Опубликовано 31.05.2020 · Обновлено 31.05.2021
Что такое Дамп кредитной карты?
Ключевые моменты
Как работают дампы кредитных карт
Хотя такие меры, как номера личной информации (PIN-коды) и защитные чипы, могут помочь усложнить эту кражу, хакеры, тем не менее, продолжают находить новые способы использования слабых мест в системе электронных платежей для сбора ценной информации о кредитных картах. Чтобы получить прибыль от этой кражи, киберпреступники перепродают информацию о кредитных картах на черном рынке. Сообщается, что в США такая украденная информация может быть продана по цене от 20 до 80 долларов за карту. Кроме того, хакеры могут сами использовать эту информацию для совершения несанкционированных покупок в Интернете с использованием украденных кредитных карт.
В конечном итоге потребители имеют ограниченные средства защиты от риска киберпреступности. В конце концов, даже самые осторожные люди могут стать жертвами кражи кредитной карты, если хакерам удастся взломать системы компаний, в которых они делают покупки. Тем не менее, есть шаги, которые люди могут предпринять, чтобы снизить некоторые из своих рисков. К ним относятся отказ от обмена информацией о своей кредитной карте с другими, держать свои кредитные карты под рукой в общественных местах, проверять наличие любых подозрительных предметов на банкоматах, заправочных насосах и торговых точках или вокруг них; и регулярно проверять выписки по своим кредитным картам на предмет любых незнакомых операций.
Пример дампа кредитной карты
К сожалению, нет недостатка в примерах, в которых хакерам удавалось взломать огромные объемы данных кредитных карт ничего не подозревающих клиентов. Например, в мае 2019 года популярный австралийский веб-сайт графического дизайна Canva был взломан хакерами, в результате чего было взломано около 140 миллионов учетных записей пользователей. Помимо личной информации, такой как имена, имена пользователей и адреса электронной почты, хакерам также удалось получить доступ к информации о кредитных картах пользователей.
Еще один заметный инцидент произошел в октябре 2013 года, когда Adobe (ADBE ) потеряла почти 3 миллиона записей о кредитных картах клиентов в результате крупномасштабной атаки хакеров.Нарушение было частью более крупной попытки, в ходе которой были украдены данные более 150 миллионов пользователей.В конечном итоге компания достигла урегулирования со своими клиентами примерно на 1 миллион долларов по этому инциденту.1
Мошенничество с кредитными картами: эти сладкие слова «дамп с пином». Часть 5
С 2003 года кардерский мир по обеим сторонам океана охватила самая настоящая золотая лихорадка. Самый первый вопрос любого новичка, приходящего в кардинг, высказывает золотую мечту каждого кардера: «А где можно купить дампы с пинами, чтобы пойти к банкомату и снять денег с карточки?» Новичку такому говорили, чтобы он «выпил йаду» либо «ехал в Бобруйск» учить матчасть, но в 2003 году ситуация изменилась.
Этому способствовала безграмотность в карточном отношении одного американского кардера. Как Александр Флеминг открыл пенициллин, наплевательски отнесясь к своей работе по выращиванию бактериальной культуры, просто не закрыв чашку, в которой эта культура выращивалась, из-за чего в нее попали споры пенициллина из окружающей среды (во всем мире такого лаборанта сразу бы уволили, а вот Флеминг случайно совершил открытие и получил за это Нобелевскую премию), так и этот американский кардер проигнорировал все мануалы по кредитным картам, в которых пишется о том, что в дампе существует CVV/CVC код, который обязательно проверяется эмитентом при транзакции и который невозможно воспроизвести без секретного ключа, хранящегося в банке.
«Выловив» с помощью фишинга несколько номеров карт со сроками истечения их действия и пин-кодами, он решил из имеющихся у него данных сгенерировать рабочий дамп и обналичить его в банкомате. И, к превеликому удивлению людей, разбирающихся в карточной безопасности, это ему удалось. Как мы помним, после поимки в Великобритании местных кардеров, фотографировавших карты и подглядывающих их пин-коды, МПС ввели в свои правила обязательную проверку всеми эмитентами CVV/CVC кода по всем транзакциям. Это было в 80-х годах прошлого века.
Спросите у любого банковского сотрудника, занимающегося пластиковыми картами, может ли быть так, что CVV/CVC при транзакции не будет проверяться? Он вам ответит, что это невозможно, потому что такого не может быть. Однако, как оказалось, быть такое может. Не во всех банках, а в некоторых, но все же.
Не знаю, чем была вызвана столь вопиющая ошибка в безопасности транзакций – то ли ненадлежащей настройкой программного обеспечения в банке, то ли еще чем-то, но факт остается фактом: в ряде банков при проведении банкоматных транзакций CVV/CVC не проверялся, что позволяло злоумышленникам, зная номер карты, срок истечения сроков ее действия и пин-кода, генерировать недостающую часть дампа и
обналичивать карту в банкоматах. Новость о том, что такое возможно, моментально распространилась в узких кругах, а через некоторое время стала известна всем кардерам.
Те, кто знал, что CVV/CVC код для поддельных дампов на самом деле генерировался «от фонаря», срочно разработали для остальной кардерской общественности легенду, что «лучшими математическими умами кардерского сообщества был расшифрован алгоритм генерации CVV/CVC, используемый некоторыми банками», и большинство кардеров начало охоту за этими несуществующими алгоритмами. Сделано это было для того, чтобы основная масса кардеров, которые являются больше «ремесленниками», чем «исследователями», не накинулись на курицу, несущую золотые яйца, и не «убили тему» преждевременно.
К слову, на американских кардерских форумах до сих пор самый популярный вопрос: «У кого можно купить рабочие «алгосы» для генерации дампов?» Кардеры стали в спешном порядке методом перебора проверять карты разных банков на предмет наличия этой уязвимости. Банков таких оказалось не очень много – всего пара десятков. За номерами этих карт с пин-кодом началась настоящая охота, и фишинговые сайты росли как на дрожжах. Оказался среди этих банков и Райффайзенбанк.
Так уж сложилось, что наиболее сильная «школа» в области «реального пластика» среди стран бывшего СССР оказалась в Украине. Большинство сильных специалистов в области использования уязвимостей карточных систем, применяемых в оффлайне, живет в Украине либо являются выходцами оттуда. Поэтому неудивительно, что, получив исходные данные для генерации дампа с пином, народ бросился снимать деньги в банкоматы, расположенные поблизости от места их проживания. А поскольку большая часть этого народа жила в Украине, то именно украинские банкоматы внесли наиболее весомый вклад в укрепление благосостояния кардеров.
Следует сказать, что карты европейских банков более предпочтительны для «русских» кардеров, чем карты американских банков. Связано это с большей географической близостью Европы. Транзакция на другом континенте всегда вызывает больше подозрений у банковских работников, чем транзакция в соседней стране, поэтому американские дампы «умирали» обычно после одного-двух использований в банкоматах, расположенных в странах бывшего СССР, а вот европейские дампы «жили» дольше. А ведь чем дольше «живет» дамп, тем больше денег можно с него снять – это связано с тем, что у большинства банков выставлены достаточно скромные лимиты на снятие наличных в течение суток и за один раз невозможно «подчистить карту» до нуля, если на ней лежит значительная сумма. Поэтому «русские» кардеры отправляли, как правило, американские дампы с пином на обналичку в США местным кардерам, которые за определенный процент бегали по тамошним банкоматам, а вот европейские дампы предпочитали обналичивать сами.
Райффайзенбанк, как известно, является европейским банком, поэтому его дампы с пином активно использовались в украинских банкоматах. Слабо верится в то, что специалисты Райффайзенбанка не понимали происхождения этих дампов с пином – что они получены не от скимминга в POS-терминалах с пин-падом и банкоматах, а в результате фишинга и использования их, специалистов, халатности. Возможно, это понимание пришло не сразу, а через некоторое время, потому что во второй половине 2005 года «дырку» закрыли, реализовав, наконец, корректную проверку CVV/CVC, прикрыв кардерам их почти двухгодовой период золотой лихорадки, но обратить внимание на то, что деньги в украинских банкоматах снимались по картам, большинство владельцев которых даже и не думали посещеть Украину, невозможно.
Нехорошо, господа банкиры, скрывать собственную халатность, обливая грязью целую страну. Если уж не можете вовремя закрывать свои «дырки», то хотя бы не вините в их существовании крупную европейскую страну с 50 миллионами населения, а сообщайте о проблеме своим клиентам как тот же «Ситибанк», который просто объявил об участившихся случаях банкоматного мошенничества со своими картами, перевыпустил проблемные карты и, никого не обвиняя, быстро ликвидировал свою «дырку».
FAQ/Как разводят новичков(кардинг)
Kellss
Kellss
Kellss
Что такое залив на карту?
Если говорить красиво, то залив на карту – это перевод незаконно добытых денежных средств на банковскую карту человека, который обязуется их обналичить и отправить оговоренный % от суммы обналиченных средств на указанный счет. Для людей, оказавшихся в долговой яме, залив сравним с даром богов, а сам заливщик предстает ангелом-хранителем, спустившимся с небес, чтобы помочь бедолаге. Но после получения залива, в глазах заемщика ангел вдруг становиться дьяволом, а дар богов кажется карой небесной за прочие грехи.
Как обезопасить себя, если залив уже на вашей карте?
Выход один — не снимайте деньги ни за что, сразу же идите в банк и объясняйте ситуацию следующим образом: «На мой счет/карту поступила энная сумма денег, но я не знаю, откуда и от кого, мне деньги не принадлежат, родственники с большим наследством не умирали и т.д.»
Пусть банкиры сами разбираются.
Можно ли избежать ответственности за совершенный и обналиченный залив? Скорее всего — да, но этот вопрос еще не до конца изучен, и давать какие-то конкретные советы пока не представляется возможным. Мы постараемся раскрыть эту тему подробнее в одной из следующих статей. Можно сказать, что дело это не простое и обычно вы лишаетесь возможности пользоваться услугами банка, где открыли карту. Нужно вам
Вам также нужно понять, что заливы на карту существуют. Но реальных заливщиков очень мало. 99% заливщиков являются мошенниками
Первое, на что следует обратить внимание, это на количество объявлений, если вы видите что человек каждый день кидает свою объяву, а-то и несколько раз в день, можете быть на 100% уверены что это рипак.
Причём рипак настолько жадный и тупой, что ему не в домёк что он таким образом себя палит, думаю это и так понятно тем у кого есть хоть грамм серого вещества.
Их никогда не продавали, не продают и не будут продавать. Если вам всё же тяжело это понять, то далее по пунктам объясняю почему это развод
Люди снимающие дампы, давно крутятся в этом бизнесе (ламеров ловят после перевой же установки скимаков на банкомат) и левых-чайников дропов не возьмут.
Если дампы снимают в юса, азии, европе, соответственно обналичивают там же, но никак не в России.
Деньги сливаются с зарубежных счетов, соответственно и счета на которые они сливаются должны быть зарубежные. По России мало кто работает, а если и работают то работают с юр. счетами, а для этого у дропа должны быть фирмы однодневки.
Если кардеру и надо перегнать деньги в ру, для этого есть куча способов при которых услуги дропа не нужны. К тому же, если заливщик бы залил на вашу карту «грязь» счёт бы заморозили, а к вам пришли злые дяди в погонах.
НАСЧЁТ ПРЕДОПЛАТ, ЕСЛИ У ВАС ПРОСЯТ ПРЕДОПЛАТУ, А ИМЕЕНО ТАК И РАБОТАЮТ НА ЗАКРЫТЫХ БОРДАХ, ТО РАБОТАТЬ НУЖНО ТОЛЬКО ЧЕРЕЗ ГАРАНТА ЗАКРЫТЫХ БОРДОВ, БОРДА КОТОРОМУ МОЖНО ДОВЕРЯТЬ,
В ЛЮБОМ ДРУГОМ СЛУЧАИ ЭТО РАЗВОД, ВАМ МОГУТ ПОДСУНУТЬ ФЕЙКОВЫЙ ФОРУМ, ФЕЙКОВОГО ГАРАНТА( спрашивать меня про эти форумы не нужно, учитесь пользоваться гуглом)
НИКОГДА И НИКОМУ НЕ ОТПРАВЛЯЙТЕ ДЕНЕГ ВПЕРЁД ЕСЛИ НЕ ХОТИТЕ ОКАЗАТЬСЯ В ЧИСЛЕ КИНУТЫХ ЛОХОВ.
САМОЕ ГЛАВНОЕ, ЧТОБЫ НЕ БЫТЬ КИНУТЫМ, ЗАПОМНИТЕ ОДНУ ПРОСТУЮ ВЕЩЬ, АБСОЛЮТНО ВСЕ ОБЪЯВЛЕНИЯ КАСАЮЩИЕСЯ ОБНАЛА И ЗАЛИВОВ, ЭТО РАЗВОД, С ЦЕЛЬЮ ВЫМАНИТЬ У ВАС ПРЕДОПЛАТУ, ЗА ДОСТАВКУ, ЗА ИЗГОТОВЛЕНИЕ КАРТЫ, НА ПОКУПКУ АККА, НА БЕЗОПАСНОСТЬ, ВАРИАНТОВ ТЬМА И РИПАКАМ ПРИХОДИТСЯ ВСЁ ВРЕМЯ ПРИДУМЫВАТЬ ЧТО-ТО НОВОЕ.
ПРИ ЭТОМ ОНИ НЕ БРЕЗГУЮТ НИКАКИМИ СУММАМИ. ПОВЕРЬТЕ НА СЛОВО, ОБЫЧНОМУ ЧЕЛОВЕКУ КОТОРЫЙ ИЩЕТ ТЕ ЖЕ САМЫЕ ЗАЛИВЫ, ИЗ-ЗА ОТСУТСТВИЯ ДЕНЕГ, НЕ ПОТЯНУТЬ ФИНАНСОВО УСЛУГИ НАСТОЯЩЕГО ЗАЛИВЩИКА, ПОТОМУ ЧТО СУММЫ ЗАЛИВАЮТ КРУПНЫЕ И ВНОСИТЬ В ГАРАНТА НУЖНО СООТВЕТСТВУЮЩУЮ СУММУ. И ЕСЛИ У ВАС НЕТ СЧЕТОВ ЗА РУБЕЖОМ ИЛИ ЮР. СЧЕТА, МОЖЕТЕ СМЕЛО ЗАБЫТЬ ПРО РАБОТУ ДРОПОМ. РИПАКАМ ДАЖЕ ЛЕНЬ СМЕНИТЬ ЕМЕЙЛ ПОСЛЕ КИДКА, ПОЭТОМУ НЕ ЛЕНИТЕСЬ ПРОБИВАТЬ ПОЧТУ В ПОИСКОВИКАХ.
И ПОДВОДЯ ИТОГ, ПОВТОРЯЮ, ЛЕВОМУ ЧЕЛОВЕКУ ДАЛЁКОМУ ОТ МИРА КАРДИНГА, НИКОГДА НЕ НАЙТИ НИ ЗАЛИВЩИКА, НИ КАРТ НА ОБНАЛ, ПРОСТО ПОТОМУ ЧТО ВЫ ЧАЙНИКИ, КОТОРЫЕ НИЧЕГО НЕ УМЕЮТ И НЕ ЗНАЮТ О ДАННОЙ СФЕРЕ ЗАРАБОТКА, А ЧАЙНИКОВ В КАРДИНГЕ НЕ ЛЮБЯТ И С НИМИ НЕ РАБОТАЮТ.
ТАК ЖЕ ХОЧУ ДАТЬ СОВЕТ ДЛЯ ТЕХ КТО ВСЁ ЖЕ ХОЧЕТ ОСВОИТЬ ПРОФЕССИЮ КАРДЕРА, НАЧНИТЕ КАК И БОЛЬШИНСТВО КАРДЕРОВ С ВЕЩЕВУХИ, А ДАЛЬШЕ УЖЕ С НАБОРОМ ОПЫТА И ДО САМОСТОЯТЕЛЬНЫХ ЗАЛИВОВ ДЕЛО ДОЙДЁТ.
Разбор полётов: Как крадут наши карты Статьи редакции
Что такое кардинг, как устроен бизнес по продаже ворованных кредиток и как избежать потери денег самому
Два дня назад известный репортёр и специалист по кибербезопасности Брайан Кребс сообщил о масштабной утечке из национальной сети китайских забегаловок P. F. Chang’s в США: по его оценке, тысячи кредитных карт были выставлены на продажу на чёрном рынке.
TJournal разобрался, откуда берутся краденые карточки в интернете, как злоумышленники получают к ним доступ и что нужно сделать, чтобы максимально обезопасить себя от потери денег.
Минутка истории: как хакеры заставили P. F. Chang’s перейти на дореволюционные технологии
9 июня на сайте подпольного магазина rescator[dot]so появилась свежая партия краденых карт, рассказал в своём блоге Брайан Кребс. Связавшись с несколькими банками, начавшими реагировать на утечку данных, он выяснил, что все карты, которые удалось проверить, использовались в сети китайских бистро P. F. Chang’s в промежуток между началом марта 2014 года и 19 мая.
Спустя двое суток представители P. F. Chang’s подтвердили кражу карт, вызванную кибератакой на рестораны сети. Компания начала расследование произошедшего, а пока что вместо привычных электронных терминалов P. F. Chang’s будет использовать старые считыватели кредитных карт, работающих на дайлап-интернете, а также сохранять бумажные чеки от платежей по картам.
Как именно это повысит безопасность, компания не сообщила, однако ясно, что удалённо украсть (а затем перепродать) большой объём бумажных чеков гораздо сложнее, чем взломать тысячи карт через одно современное устройство.
В начале марта стало известно о краже данных 282 тысяч банковских карт, которыми расплачивались в сети салонов красоты Sally Beauty. Когда компанию спросили о произошедшем, её представители сообщили, что хотя проникновение в сеть компании было зафиксировано, ни сотрудники безопасности Sally Beauty, ни сторонние эксперты не смогли найти следов кражи данных.
Чтобы опредилить точку, в которой и было проведено преступление, банки производят «контрольную закупку» карт — обычно несколько десятков штук. Проверяя их по своей базе, они вычисляют так называемый CPP, common point of purchase — магазин, в котором расплачивались всеми картами из партии.
Однако мастшаб этой операции не идёт ни в какое сравнение со взломом сети супермаркетов Target, произошедшей в ноябре 2013 года. Тогда были украдены данные 110 миллионов покупателей, которые позднее появились на сайте уже упомянутого магазина, rescator[dot]so. По некоторым данным, 70 миллионов из карт были взломаны при помощи вируса «Kaptoxa», созданного российским подростком, однако в разговоре с TJournal он опровергал своё участие.
Несмотря на существующую угрозу безопасности остальных своих клиентов, Target не отказался от использования электронных систем обработки платежей с кредиток: в масштабе гигантской сети супермаркетов это было бы равносильно переводу всех грузовиков с товарами на лошадиные повозки.
Кратко об устройстве бизнеса кражи данных карт
Мошенничество с угоном данных карт называется кардингом. Иногда злоумышленники ограничиваются несколькими частными кражами, но серьёзную угрозу представляют масштабные спланированные операции, в результате которых оказываются скомпрометированными не десятки и сотни, а тысячи и миллионы пластиковых карт. Такие партии пластика тяжело воспроизвести в виде копий и опасно обналичивать, поэтому добывшие их взломщики сбывают их другим преступникам, по пути выручая крупную сумму денег.
Существуют сотни подпольных интернет-магазинов, продающих карты. Один из самых известных — McDumpals (да, магазин косит под сеть фастфудов, играя на ассоциации со скоростью обслуживания), о котором недавно рассказывал Кребс. Стремясь обеспечить собственную безопасность, магазин пускает не всех, а только по вступительному взносу в 100 долларов. Как и остальные платежи, вступительный взнос можно заплатить только в биткоинах.
Например, на скриншоте магазин McDumpals продаёт 1245 карт за 10,5 тысяч долларов. MA-CT означает код штатов: Массачуссетс и Коннектикут.
Несмотря на то, что большинство дамп-шопов используют множественных поставщиков краденых карт, они не занимаются повторной перепродажей данных. После того, как карту продают покупателю, она исчезает из магазина, и если кто-то попробует перепродать её повторно, он будет удалён из цепочки и внесён в чёрный список.
Иногда магазины продают карты пачками свыше тысячи штук. Всё, что покупатель знает об этих картах — место, откуда они происходят, и их «свежесть»: чем свежее, тем больше вероятность, что карты окажутся рабочими (а не будут сломаны, потеряны или перевыпущены).
Главная характеристика продаваемых партий — процент валидности. Например, если продавец заявляет, что этот показатель поставляет 50 процентов, это означает, что каждая вторая карта из партии не сработает в банкомате и полностью бесполезна. Чем свежее карта, тем меньше шанс, что банки уже успели отреагировать на кражу партии их карт и заблокировать их.
Карты, украденные в ходе атаки на Target, продавались несколькими последовательными партиями, каждая из которых постепенно дешевела из-за падающего процента валидности. Как видно из графика, даже спустя два месяца после «слива» базы карт свыше половины из них были работоспособными — по крайней мере, так их рекламировали продавцы.
Сохранившийся высокий процент валидных карт — вина и самих банков, не пожелавших перевыпускать карты: по словам Кребса, выпуск одной карты стоит от 3 до 5 долларов, а взлом ещё и неудачно выпал на время рожденственских праздников, когда все клиенты активно пользуются кредитками и не готовы ждать, пока их перевыпустят.
Похожая ситуация произошла в России в апреле из-за уязвимости Heartbleed. Когда неизвестные опубликовали информацию об утечке данных 200 тысяч российских карт, якобы вызванной багом на сайте РЖД, ответственный за процессинг банк ВТБ не поспешил перевыпускать их, заявив, что утечки не было. В то же время мобильный банк «Рокетбанк» перевыпустил карты для своих клиентов, благо их было всего 30 штук. Спустя три недели банки всё-таки стали блокировать карты, а ВТБ отчитался постфактум, что ещё на начальном этапе заблокировал карты с «повышенным риском». Подробности истории.
Первые партии, имевшие максимальный рейтинг, продавались частями по миллиону штук от 20 до 100 долларов за карту, рассказывал Брайан Кребс, однако впоследствии цена упала вплоть до 8 долларов. Высокие цены на краденые карты были связаны также и с тем, что rescator[dot]so продавал так называемые дампы — данные с магнитных полос, позволяющие воспроизводить копии кредиток.
Как используют украденные карты
Дампы — это данные, которые при помощи вредоносного кода, встроенного в скиммеры в банкоматах и мобильных терминалах оплаты, извлекаются из непосредственно магнитной полосы. Получив эти данные, кардеры могут создать реплику оригинальной карты, чтобы использовать её для покупок в больших супермаркетах.
Кардеры предпочитают покупать карточки, прежние владельцы которых жили неподалёку или в том же городе. Это связано с системой безопасности: если банк видит, что при помощи карты некто пытается совершить платёж из места, откуда владелец ранее не производил покупок, он помечает операцию как подозрительную. Тогда в дело вмешивается служба безопасности: обычно транзакция блокируется до тех пор, пока владелец лично её не подтвердит.
На моей памяти таких случаев было два: однажды, когда я только завёл свою первую карту, мне нужно было произвести относительно крупный перевод денег. Через десять секунд после нажатия кнопки «Отправить» раздался звонок из СБ, где меня попросили подтвердить свою личность и намерение передать другому лицу необычную сумму денег. Второй случай случился в Уфе: мой друг-иностранец попытался расплатиться картой зарубежного банка в российском банкомате. К его сожалению и величайшему дискомфорту, банкомат «съел» карту в целях безопасности, посчитав, что она была украдена или подделана.
Как крадут карты и как защитить себя
Поскольку от одного номера карты и кода подтвержения (CVV или CVC2) толку мало, кардеры стараются получить дампы, для чего нужен физический доступ к карте. Получить его они могут двумя путями: установив скиммер в банкомат или взломав мобильный терминал, при помощи которого карты принимают к оплате, например, в ресторанах и барах. Если в последнем случае хакерам потребуется сотрудничество сообщника в лице официанта или кассира, то в случае скиммера всё проще и распространённее.
Скиммер (от «skim» — снимать сливки) — специальное считывающее устройство, работающее прослойкой между картой и банкоматом. Оно присоединяется к лотку приёма карт в банкомате и пропускает карты сквозь себя, считывая с них информацию специальной головкой. Иногда считыватель дополняет мобильная камера, записывающая PIN, вводимый пользователем на клавиатуре, или специальная накладная клавиатура, запоминающая введённую последовательность.
Один из примеров внешнего вида скиммеров
Скиммер и камеру обычно маскируют под цвета банкомата, на который их устанавливают, или даже под рекламные материалы, чтобы возникало ещё меньше подозрений. Они работают от батареек, но чаще всего не передают информацию по сети: злоумышленнику предстоит снять их с банкомата и подключить к компьютеру, чтобы заполучить собранные данные.
Обычно скиммеры выглядят чужеродно и слегка выпирают над поверхностью корпуса банкомата, однако их можно спутать с антискимминговыми устройствами. Есть и более незаметные варианты — шиммеры — которые представляют собой считывающую полоску толщиной 0,1-0,2 миллиметра, устанавливаемой внутрь отверстия для приёма карты.
Инкассаторы каждый раз проверяют банкоматы на наличие скимминговых устройств, поэтому обычно их стараются помещать на устройства в людных местах — там, где за короткое время между двумя инкассациями удастся считать наибольшее количество карт: например, на вокзалах и в торговых центрах. Банки тоже не сидят на месте: устанавливают специальные антискиммеры, усложняющие насадку и использование считывателей.
Антискиммер
Приведём несколько советов по тому, как снизить риск угона пластиковой карты.
1. Пользоваться проверенными банкоматами вашего банка в офисе банка — там, где он охраняется и за его безопасностью следит несколько камер.
2. Внимательно осматривать банкомат перед тем, как воспользоваться им. Если внешний вид устройства для приёма карт вызывает подозрения (например, он выпирает, не зафиксирован, другого цвета или материала), клавиатура выглядит непривычно, а рядом находится лоток с рекламными материалами, куда может быть встроена камера, лучше не пользоваться банкоматом.
3. При наборе PIN лучше прикрывать клавиатуру рукой сверху, страхуясь от возможных камер или подсматривающего злоумышленника. Некоторые банкоматы оснащены специальными шторками.
4. По возможности выпускать не обычную карту, а смарт-карту с электронным чипом. Её обслуживание обходится дороже, но безопасность выше: её сложнее подделать, а для всех операций необходимо введение PIN-кода (в отличие от обычных карт, где может хватить росписи владельца). Однако не все банкоматы поддерживают использование чипов: в этом случае они проходят через магнитную полосу.
5. На снятие денег с карты в некоторых банках можно устанавливать лимит — например, не более 20 тысяч рублей в сутки. Иные карты можно выпускать уже с предельным лимитом: например, можно создать виртуальную карту для платежей в интернете, по которой можно заплатить не больше 10 тысяч рублей. В случае её угона злоумышленники не смогут украсть всю сумму денег.
6. Банальный, но действенно: не показывайте свою карту посторонним. Подсмотреть вводимый PIN может улыбающийся официант.
В случае, если вы всё-таки воспользовались подозрительным банкоматом, и теперь вас мучают сомнения, не нарвались ли вы на скиммер, позвоните в банк и заблокируйте карту, а затем перевыпустите с новыми данными. Несмотря на то, что некоторые мошенники могут мгновенно получить данные вашей карты в случае беспроводного подключения к скиммеру (один из читателей «Хабрахабра» описывал такой случай), массовые взломы обычно осуществляются много позже. Оперативным перевыпуском карты можно избежать потери денег.
И не выкладывайте фото вашей кредитки в Инстаграм,
Никита Лихачёв,
TJournal