כיצד לאתר ולהימנע מרחיקי כרטיסי אשראי

הרגע שהתחלתי לדאוג ברצינות מחלקי כרטיסי אשראי וכרטיסי חיוב לא היה כאשר כל חשבון הבנק שלי הועבר לטורקיה, או כשהייתי צריך להחליף כרטיס אשראי שלוש פעמים בחודשיים בגלל חיובי הונאה. זה היה כשנודע לי שגניבת מספר כרטיס אשראי היא קלה כמו חיבור קורא רצועות מגנטיות למחשב ופתיחת מעבד תמלילים. כל החלקה פולטת את מספר כרטיס האשראי, ללא צורך בהגדרה נוספת. התקנים מתקדמים יותר לגניבת המידע שלך מותקנים על ידי עבריינים ישירות לכספומטים וקוראי כרטיסי אשראי. אלה נקראים רחפנים, ואם אתה נזהר אתה יכול למנוע מלהיות קורבן למכשירים המגניבים האלה.

מה הם רחפנים?

רחפנים הם למעשה קוראי כרטיסים זדוניים המחוברים למסופי התשלום האמיתיים, כך שהם יכולים לקצור נתונים מכל אדם המחליף את הקלפים שלהם. הגנב לא פעם צריך לחזור למכונה שנפגעה כדי לאסוף את הקובץ המכיל את כל הנתונים הגנובים, אך עם המידע הזה בידו הוא יכול ליצור כרטיסים משובטים או פשוט לפרוץ לחשבונות בנק כדי לגנוב כסף. אולי החלק המפחיד ביותר הוא שרחיקים לרוב אינם מונעים מכספומט או קורא כרטיסי האשראי לפעול כראוי, מה שמקשה עליהם לגלות.

התקפות רפרוף קלאסיות כאן כדי להישאר, וככל הנראה ימשיכו להוות בעיה גם עכשיו כשהבנקים עברו את המעבר לכרטיסי שבב EMV, כך אומר סטפן טאנאס, חוקר אבטחה במעבדת קספרסקי. גם אם בכרטיסים יש שבב, הנתונים עדיין יהיו על הרצועה המגנטית של הכרטיס כדי להיות תואמים לאחור למערכות שאינן יכולות להתמודד עם השבב, הוא אמר לנו. אפילו עכשיו, הרבה אחרי ההפצה של כרטיסי EMV בארה"ב, ישנם סוחרים המחייבים את הלקוחות להשתמש בפסים.

הרחפן הכספומט הטיפוסי הוא מכשיר קטן שמתאים מעל קורא כרטיסים קיים. לרוב, התוקפים יציבו גם מצלמה נסתרת אי שם בסביבה כדי לרשום מספרי זיהוי אישיים, או מספרי זיהוי אישי, המשמשים לגישה לחשבונות. המצלמה עשויה להיות בקורא הכרטיסים, רכוב בראש הכספומט, או אפילו בתקרה. יש עבריינים שמתקינים רפידות PIN מזויפות מעל המקלדות בפועל בכדי ללכוד את ה- PIN ישירות, תוך עקיפת הצורך במצלמה.

התמונה לעיל היא רחפן אמיתי שמשמש בכספומט. אתה רואה את הקטע הצהוב המוזר והמגושם הזה? זה הרחפן. קל לזהות את זה אחד מכיוון שיש לו צבע וחומר שונה ממכונת היעד, אך ישנם סימנים מגולפים אחרים. מתחת לחריץ בו אתה מכניס את הכרטיס, מונחים חצים מורמים המוטבעים בתוך מעטפת הפלסטיק של המכונה. ניתן לראות כיצד החצים האפורים קרובים מאוד לבית הקורא הצהוב, כמעט חופפים. זהו סימן שהותקן רחפן מעל לזה הקיים, מכיוון שלקורא הכרטיסים האמיתי יהיה מעט מרווח בין חריץ הקלפים והחצים.

מסקימרים לשיימר

כאשר הבנקים האמריקנים סוף סוף הדביקו את שאר העולם והחלו להנפיק כרטיסי שבב, זה היה יתרון ביטחוני גדול עבור הצרכנים. כרטיסי השבב הללו, או כרטיסי EMV, מציעים אבטחה חזקה יותר מאשר פסי הפשטות הכואבים של כרטיסי אשראי ישנים. אבל הגנבים לומדים מהר, והיו להם שנים להתקפות מושלמות באירופה ובקנדה שמכוונות לכרטיסי שבב.

במקום רחפנים, שיושבים על גבי קוראי הג'סטריפ, מנצנצים נמצאים בתוך קוראי הכרטיסים. מדובר במכשירים דקים מאוד ולא ניתן לראות מבחוץ. כשאתה מחליק את הכרטיס שלך פנימה, השיימר קורא את הנתונים מהשבב שבכרטיסך, ממש באותה דרך שבה רחפן קורא את הנתונים שנמצאים במגזין הכרטיס שלך.

עם זאת, ישנם כמה הבדלים עיקריים. ראשית, האבטחה המשולבת שמגיעה עם EMV פירושה שתוקפים יכולים לקבל רק את אותו המידע שהייתם מרחפן. בבלוג שלו, חוקר האבטחה בריאן קרבס מסביר כי "לא ניתן להשתמש בנתונים שנאספו על ידי מנצנצים כדי לייצר כרטיס מבוסס שבבים, אך ניתן להשתמש בהם כדי לשכפל כרטיס פס מגנטי. אם כי הנתונים המאוחסנים בדרך כלל בפס המגנטי של הכרטיס. משוכפל בתוך השבב בכרטיסים המותאמים לשבבים, השבב מכיל רכיבי אבטחה נוספים שלא נמצאו בפס מגנטי."

הבעיה האמיתית היא שמייצרים הרבה יותר קשה לאתר כיוון שהם יושבים בתוך כספומטים או מכונות נקודת מכירה. הברק שבתמונה למטה נמצא בקנדה ודיווח ל- RCMP. זה קצת יותר ממעגל משולב המודפס על דף פלסטיק דק. אם בעלי המכשיר שנפגע לא היו זהירים, זה יכול היה לגנוב את המידע מכל מי שהשתמש בו.

יצרני הכספומטים לא השתמשו בהונאה מסוג זה בשכיבה. כספומטים חדשים יותר מתהדרים במכשירים אנטי-פכניים חזקים, לרבות מערכות מכ"ם המיועדות לגלות חפצים שהוכנסו או מחוברים לכספומט. עם זאת, חוקר אחד בוועידת האבטחה של Black Hat הצליח להשתמש במכשיר הרדאר המשולב בכספומט בכדי לתפוס מספרי PIN כחלק מהונאה מורחבת.

האיומים הם אמיתיים ומתפתחים; לכן חשוב כל כך לתת לכל כספומט או קורא כרטיסי אשראי בדיקה מהירה לפני השימוש בו.

בדוק אם הוא מתעסק

כשאתה ניגש לכספומט, בדוק אם יש סימנים ברורים להתעסקות בראש הכספומט, בסמוך לרמקולים, בצד המסך, בקורא הכרטיסים עצמו ובמקלדת. אם משהו נראה שונה, כגון צבע או חומר שונה, גרפיקה שאינה מיושרת נכון או כל דבר אחר שאינו נראה נכון, אל תשתמש בכספומט זה. הדבר נכון גם לקוראי כרטיסי האשראי בקו הקופות או בתחנות הדלק.

אם אתה בבנק, כדאי לבדוק במהירות את הכספומט שלידך ולהשוות ביניהם. אם יש הבדלים ברורים, אל תשתמש באף אחד מהם ודיווח על ההתעסקות החשודה בבנק שלך. לדוגמה, אם בכספומט אחד יש כרטיס מהבהב בכדי להראות איפה עליכם להכניס את כרטיס הכספומט ולכספומט השני יש חריץ קורא רגיל, אתם יודעים שמשהו לא בסדר. רוב הרחפנים מודבקים על גבי הקורא הקיים, ויטשטש את המחוון המהבהב.

אם המקלדת לא מרגישה נכונה - עבה מדי, אולי - יתכן שיש כיסוי שכבה חוטף PIN, אל תשתמשו בה.

לנפנף הכל

אפילו אם אינך יכול לראות הבדלים חזותיים, לחץ על הכל, אמר טאנאס. כספומטים בנויים היטב ובאופן כללי אין להם חלקים רופפים. לקוראי כרטיסי האשראי יש שונות רבה יותר, אך עדיין: משוך לחלקים בולטים כמו קורא הכרטיסים. בדוק אם המקלדת מחוברת היטב ופשוט חתיכה אחת. האם משהו זז כשאתה דוחף אליו?

רחפנים קוראים את הפס המגנטי כשמכניסים את הכרטיס, אז תן לכרטיס קצת להתנועע כשמניחים אותו, יעץ טאנאס. הקורא זקוק לפס כדי לעבור בתנועה יחידה, מכיוון שאם הוא לא ישר, הוא לא יכול לקרוא את הנתונים בצורה נכונה. אם הכספומט הוא מהסוג בו הוא לוקח את הכרטיס ומחזיר אותו בסוף העסקה, אז הקורא נמצא בפנים. תנופה בכרטיס כשאתה נכנס אליו בחריץ לא תפריע לעסקה שלך, אלא תסכל את הרחפן.

טקטיקה זו לא תעבוד על נצנוץ, והיא לא תעבוד עם כל כספומט שתופס ומחזיק את הכרטיס שלך בזמן שהעסקה שלך בתהליך. עם זאת, עדיין קיימות דרכים להגן על עצמך בעת השימוש במכונות אלה.

חשוב דרך הצעדים שלך

בכל פעם שאתה מזין את מספר ה- PIN של כרטיס החיוב שלך, נניח שיש מישהו שמחפש. אולי זה מעבר לכתף שלך או דרך מצלמה נסתרת. כסה את לוח המקשים בידך כשאתה מזין את ה- PIN שלך, אמר Tanase. זו מדיניות טובה גם אם אינך מבחין במשהו מוזר בכספומט. השגת מספר הזיהוי האישי הוא חיוני, מכיוון שהפושעים אינם יכולים להשתמש בנתוני הפס המגנטי הגנוב בלעדיו, אמר לנו Tanase. כמובן, בהנחה שהתוקף משתמש במצלמה ולא בשכבת-על כדי להשיג את מספר ה- PIN שלך.

עבריינים מתקינים לעיתים קרובות רחפנים בכספומטים שאינם ממוקמים במיקומים עמוסים מדי מכיוון שהם לא רוצים שיבחינו בהתקנת חומרה זדונית או באיסוף הנתונים שנקטפו. הכספומטים בבנקים בדרך כלל בטוחים יותר בגלל כל המצלמות, אם כי כמה עבריינים נועזים עדיין מצליחים להתקין אותם שם. הכספומט בתוך מכולת או מסעדה הוא בדרך כלל בטוח יותר מזה שנמצא בחוץ על המדרכה. עצור ושקול את בטיחות הכספומט לפני שאתה משתמש בו.

עם זאת, אף מקום אינו בטוח מפושע יוזם. קח לדוגמה את הסרטון הזה. הגנב מתקין בתוך כמה שניות רחפן בנקודת המכירה בתוך חנות מכולת.

הסיכוי להיפגע על ידי רחפן גבוה יותר בסוף השבוע מאשר במהלך השבוע, מכיוון שקשה יותר ללקוחות לדווח על הכספומטים החשודים לבנק. עבריינים בדרך כלל מתקינים רחפנים בשבת או ראשון, ואז מסירים אותם לפני שהבנקים נפתחים מחדש ביום שני.

במידת האפשר, אל תשתמש במגזין הקלפים שלך בכדי לבצע את העסקה. עבור קוראי כרטיסי אשראי בחנויות, הרגיש מתחת לחלל ה- PIN לחריץ להכנסת הכרטיס שלך ושבב ה- EMV שלו לקריאה. כשאתה משתמש בשבב EMV, הכרטיס מורשה במכשיר והמידע האישי שלך לא מועבר לעולם. זה מאלץ עבריינים לתקוף את פעולתם הפנימית של הקוראים המאפשרים EMV. אמנם אפשרי פיצוח של קוראי EMV, זה הרבה יותר קשה מאשר רפרוף מג'סטריפ.

אם מסוף כרטיסי האשראי מקבל עסקאות NFC, שקול להשתמש ב- Apple Pay, Samsung Pay או Android Pay. שירותים אלה מסמנים את פרטי כרטיס האשראי שלך, כך שהמידע האישי שלך לעולם לא נחשף. אם עבריין איכשהו מיירט את המידע, הוא יקבל רק מספר כרטיס אשראי וירטואלי חסר תועלת. שים לב שבמכשירים מסוימים, סמסונג פיין יכולה למעשה לחקות עסקת מגיסטריפ אם אתה מחזיק את הטלפון מעל קורא הכרטיסים. זה הרבה יותר בטוח מאשר להשתמש בכרטיס האשראי שלך.

תרחיש אחד שלעתים קרובות מצריך שימוש במגסטריפ שלך הוא תשלום עבור דלק במשאבת דלק. אלה נוהגים להתקפות, מכיוון שרבים עדיין לא תומכים בהעברות EMV או NFC, ומפני שתוקפים יכולים לקבל גישה למשאבות מבלי שיבחינו בהם. הרבה יותר בטוח להיכנס פנימה ולשלם לקופאית. אם אין קופאית בתפקיד, השתמש באותם עצות לשימוש בכספומטים ובדוק את קורא הכרטיסים לפני שתשתמש בו.

התקפות ופתרונות דיגיטליים

הגרזן האחרון של British Airways הציג מושג חדש: רחפן הכרטיסים הדיגיטליים. במקום מכשיר פיזי ללכידת פרטי הכרטיס שלך, או אתר דיוג מזויף שמאכיל אותך להזין את הנתונים שלך, רחפן דיגיטלי הוא תוכנה זדונית המוזרקת לאתר לגיטימי.

התמודדות עם סוג זה של תקיפה מחויבת בסופו של דבר על החברות להבטיח שהאתרים והשירותים שלהם יהיו מאובטחים. אך ישנם כמה דברים שהצרכנים יכולים לעשות כדי להגן על עצמם. אפשרות אחת היא להשתמש בכרטיסי אשראי וירטואליים. אלה מספרי כרטיסי אשראי מטומטמים המקושרים לחשבון כרטיסי האשראי האמיתי שלך. אם אחד מהם נפגע, לא תצטרך לקבל כרטיס אשראי חדש, אלא ליצור מספר וירטואלי חדש. בנקים מסוימים, כמו סיטי, מציעים זאת כתכונה, אז שאלו את שלכם אם זה זמין.

אם אינך יכול להשיג כרטיס וירטואלי מבנק, Abine Blur מציעה כרטיסי אשראי רעולים למנויים. אלה כרטיסי אשראי בתשלום מראש שתוכלו ליצור בטיסה ולהשתמש בהם לרכישות מקוונות. Abine אפילו מספק שם שגוי וכתובת חיוב לשימוש, ומסווה עוד יותר את המידע האישי שלך. אם אחד מאלה נחשף, לא תאבד כסף או מידע פרטי.

אפשרות נוספת היא להירשם להתראות כרטיס. Ally Bank, למשל, ישלח התראה לדחיפה לטלפון שלך בכל פעם שמשתמש בכרטיס החיוב שלך. זה שימושי, מכיוון שאתה יכול לזהות מייד רכישות מזויפות. אם הבנק שלך מספק אפשרות דומה, נסה להפעיל אותה.

הישאר מודע

אם אינך מבחין ברפרף קלפים ונתוני הכרטיס שלך נגנבים, קח לב. כל עוד אתה מדווח על הגניבה למנפיק הכרטיסים שלך (לכרטיסי אשראי) או לבנק (שם יש לך את חשבונך) בהקדם האפשרי, לא תישא באחריות לסכום האבוד והכסף שלך יוחזר. לעומת זאת, לקוחות עסקיים אינם בעלי אותה הגנה משפטית והם עשויים להתקשות יותר להחזיר את כספם.

כמו כן, נסו להשתמש בכרטיס אשראי בכל הזדמנות אפשרית. עסקת חיוב הינה העברת מזומנים מיידית ומחייבת טענת FDIC שיכולה לקחת שבועות לעיבודם. ניתן להפסיק ולבצע ביטול עסקאות בכרטיסי אשראי בכל עת, והדבר מפעיל לחץ על סוחרים לאבטח טוב יותר את הכספומטים ואת מסופי נקודת המכירה שלהם.

דיווח מתוזמן חשוב מאוד במקרים של הונאה, לכן הקפידו לפקוח עין על עסקאות החיוב וכרטיסי האשראי שלכם. אפליקציות למימון אישי כמו Mint.com יכולות להקל על משימת המיון של כל העסקאות שלך.

• Abine Blur Premium Abine Blur Premium
• Feds מתריעים על פריצות כספומט "Jackpotting" בארה"ב. Feds מזהירים מפני "Jackpotting" של כספומטים בארה"ב
• צפה ברחפן כרטיסים מתקין בשניות צפה ברחפן קלפים מותקן בשניות

לבסוף, שימו לב לטלפון שלכם. בנקים וחברות כרטיסי אשראי בדרך כלל מנהלים מדיניות איתור הונאה פעילה מאוד ויגיעו אליך מייד, בדרך כלל בטלפון או ב- SMS, אם הם מבחינים במשהו חשוד. תגובה מהירה יכולה להיות עצירת התקפות לפני שהן יכולות להשפיע עליך, אז שמור על הטלפון שלך בהישג יד.

רק זכרו: אם משהו לא מרגיש נכון לגבי כספומט או קורא כרטיסי אשראי, פשוט אל תשתמשו בו. בכל פעם שאתה יכול, השתמש בשבב במקום ברצועת הכרטיס שלך. חשבון הבנק שלך יודה לך.