Hur man upptäcker och undviker kreditkortslidare

Det ögonblick som jag började allvarligt oroa mig för kreditkorts- och betalkortskalare var inte när hela mitt bankkonto överfördes till Turkiet, eller när jag var tvungen att byta ut ett kreditkort tre gånger på två månader på grund av bedrägliga avgifter. Det var när jag fick veta att det är lika enkelt att stjäla ett kreditkortsnummer som att ansluta en magnetbandläsare till en dator och öppna en ordbehandlare. Varje svep spottar ut kreditkortsnumret, utan extra installation krävs. Mer avancerade enheter för att stjäla din information installeras av brottslingar direkt till bankomater och kreditkortsläsare. Dessa kallas skummare, och om du är försiktig kan du hindra att drabbas av dessa lumska enheter.

Vad är skummare?

Skimmers är i huvudsak skadliga kortläsare kopplade till de verkliga betalningsterminalerna så att de kan skörda uppgifter från varje person som sveper sina kort. Tjuven måste ofta komma tillbaka till den komprometterade maskinen för att hämta filen som innehåller all stulen information, men med den informationen i handen kan han skapa klonade kort eller bara bryta in på bankkonton för att stjäla pengar. Det kanske mest skrämmande är att skummare ofta inte hindrar ATM eller kreditkortsläsaren från att fungera korrekt, vilket gör dem svårare att upptäcka.

Klassiska skimmingattacker är här för att stanna, och kommer sannolikt att fortsätta att vara ett problem även nu när bankerna har gjort övergången till EMV-chipkort, enligt Stefan Tanase, en säkerhetsforskare på Kaspersky Lab. Även om korten har ett chip, kommer informationen fortfarande att finnas på kortets magnetlist för att vara bakåtkompatibel med system som inte kan hantera chipet, sa han till oss. Till och med nu, länge efter den amerikanska lanseringen av EMV-kort, kräver vissa köpmän fortfarande kunder att använda magstripe.

Den typiska ATM-skimmeren är en liten enhet som passar över en befintlig kortläsare. För det mesta kommer angriparna också att placera en dold kamera någonstans i närheten för att spela in personliga identifikationsnummer eller PIN-koder som används för att komma åt konton. Kameran kan finnas i kortläsaren, monterad högst upp i ATM, eller till och med i taket. Vissa brottslingar installerar falska PIN-kuddar över de faktiska tangentbordet för att fånga PIN-koden direkt, vilket förbigår behovet av en kamera.

Bilden ovan är en verklig skimmer som används på en bankomat. Ser du den konstiga, klumpiga gula biten? Det är skimmeren. Den här är lätt att upptäcka eftersom den har en annan färg och material än målmaskinen, men det finns andra berättelser. Under facket där du sätter in kortet är höjda pilar inbäddade i maskinens plasthölje. Du kan se hur de grå pilarna ligger mycket nära det gula läsarhuset, nästan överlappande. Det är ett tecken på att en skimmer installerades över den befintliga, eftersom den verkliga kortläsaren skulle ha lite utrymme mellan kortplatsen och pilarna.

Från Skimmers till Shimmers

När de amerikanska bankerna äntligen tog tag i resten av världen och började utfärda chipkort, var det en stor säkerhet för konsumenterna. Dessa chipkort, eller EMV-kort, erbjuder mer robust säkerhet än de smärtsamt enkla magstripes från äldre kreditkort. Men tjuvar lär sig snabbt och hade år att perfekta attacker i Europa och Kanada som riktar sig mot chipkort.

I stället för skummare, som sitter ovanpå magstripe-läsarna, är skimrarna inne i kortläsarna. Dessa är väldigt tunna enheter och kan inte ses från utsidan. När du skjuter in kortet läser skimmeren data från chipet på ditt kort, ungefär på samma sätt som en skimmer läser informationen på ditt korts magstripe.

Det finns dock några viktiga skillnader. För det första innebär den integrerade säkerheten som medföljer EMV att angripare bara kan få samma information som de skulle från en skimmer. På sin blogg förklarar säkerhetsforskaren Brian Krebs att "data som samlats in av skimmer inte kan användas för att tillverka ett chipbaserat kort, men det kan användas för att klona ett magnetbandkort. Även om data som vanligtvis lagras på ett korts magnetiska band replikeras inuti chipet på chipaktiverade kort, innehåller chipet ytterligare säkerhetskomponenter som inte finns på ett magnetband."

Det verkliga problemet är att skimmer är mycket svårare att upptäcka eftersom de sitter i uttagsautomater eller försäljningsmaskiner. Den skimmer som visas nedan hittades i Kanada och rapporterades till RCMP. Det är lite mer än en integrerad krets tryckt på ett tunt plastark. Om ägarna till den komprometterade enheten inte hade varit försiktiga, kunde detta ha stulit informationen från alla som använde den.

ATM-tillverkare har inte tagit denna typ av bedrägeri liggande. Nyare uttagsautomater skryter med robusta antimjukanordningar, ibland inklusive radarsystem avsedda att upptäcka föremål som är infogade eller anslutna till ATM. En forskare vid säkerhetskonferensen Black Hat kunde dock använda en ATM: s radarenhet ombord för att fånga PIN-koder som en del av en utarbetad bedrägeri.

Hoten är verkliga och utvecklas; det är därför det är så viktigt att ge alla bankomater eller kreditkortsläsare en snabb kontroll innan du använder den.

Kontrollera om du har tappat

När du närmar dig en ATM ska du leta efter några uppenbara tecken på manipulering högst upp på ATM, nära högtalarna, skärmens sida, kortläsaren själv och tangentbordet. Om något ser annorlunda ut, till exempel en annan färg eller material, grafik som inte är korrekt justerad eller något annat som inte ser bra ut, använd inte den ATM. Detsamma gäller för kreditkortsläsare vid kassan eller på bensinstationer.

Om du är i banken är det en bra idé att snabbt titta på bankomaten bredvid din och jämföra dem. Om det finns några uppenbara skillnader, använd inte någon av dem och rapportera den misstänkta manipuleringen till din bank. Till exempel, om en ATM har en blinkande kortpost för att visa var du ska sätta in ATM-kortet och den andra ATM har en enkel läsarplats, vet du att något är fel. De flesta skummare är limmade ovanpå den befintliga läsaren och döljer den blinkande indikatorn.

Om tangentbordet inte känner sig rätt - för tjockt, kanske - kan det finnas ett överdrag med PIN-kod, så använd inte det.

Wiggle allt

Även om du inte kan se några visuella skillnader, tryck på allt, sa Tanase. Uttagsautomater är solida och har i allmänhet inga lösa delar. Kreditkortsläsare har mer variation, men ändå: Dra på utskjutande delar som kortläsaren. Se om tangentbordet är ordentligt anslutet och bara en bit. Rör sig något när du trycker på det?

Skimmare läser magnetbanden när kortet sätts in, så ge kortet lite vrik när du lägger i det, rekommenderade Tanase. Läsaren behöver randen för att gå i en enda rörelse, för om den inte är rak in kan den inte läsa data korrekt. Om ATM är den typ där den tar kortet och returnerar det i slutet av transaktionen, är läsaren på insidan. Om du vinklar kortet när du skriver in det i spåret kommer det inte att störa din transaktion utan kommer att folja skimmeren.

Denna taktik fungerar inte på skimrande och fungerar inte med någon ATM som fångar och håller ditt kort medan din transaktion är i process. Det finns dock fortfarande sätt att skydda dig när du använder dessa maskiner.

Tänk igenom dina steg

När du anger PIN-koden för ditt betalkort, antar att det är någon som letar. Kanske är det över din axel eller genom en dold kamera. Täck knappsatsen med handen när du anger din PIN-kod, sa Tanase. Det är en bra policy även om du inte märker något konstigt med ATM. Det är viktigt att få PIN-koden, eftersom brottslingarna inte kan använda den stulna magnetbanddata utan den, berättade Tanase. Naturligtvis antar det att angriparen använder en kamera och inte ett överlägg för att få din PIN-kod.

Brottslingar installerar ofta skimmers på bankomater som inte är belägna på alltför upptagen platser eftersom de inte vill observeras installera skadlig hårdvara eller samla in skördade data. Uttagsautomaterna i bankerna är i allmänhet säkrare på grund av alla kameror, även om vissa våga brottslingar fortfarande lyckas installera dem där. Uttagsautomaten i en livsmedelsbutik eller restaurang är i allmänhet säkrare än den som finns utanför på trottoaren. Stoppa och överväga säkerheten för ATM innan du använder den.

Som sagt, ingen plats är säker från en driftig brottsling. Ta till exempel den här videon. Tjuven installerar en skimmer på försäljningsstället i en livsmedelsbutik på några sekunder.

Chanserna att drabbas av en skimmer är högre på helgen än under veckan, eftersom det är svårare för kunder att rapportera de misstänkta bankomater till banken. Kriminella installerar vanligtvis skummare på lördagar eller söndagar och tar sedan bort dem innan bankerna öppnar igen på måndag.

När det är möjligt, använd inte kortets magstripe för att utföra transaktionen. För kreditkortsläsare i butikerna känner du dig under PIN-koden för en kortplats för att sätta in ditt kort och dess EMV-chip som ska läsas. När du använder ditt EMV-chip är kortet godkänt på enheten och din personliga information överförs aldrig. Detta tvingar kriminella att attackera den inre funktionen för EMV-aktiverade läsare. Även om det är möjligt att knäcka EMV-läsare är det mycket svårare än magstripe-skimming.

Om kreditkortterminalen accepterar NFC-transaktioner, överväg att använda Apple Pay, Samsung Pay eller Android Pay. Dessa tjänster markerar din kreditkortsinformation så att din personliga information aldrig utsätts. Om en kriminell på något sätt fångar informationen får han bara ett värdelöst virtuellt kreditkortsnummer. Observera att på vissa enheter kan Samsung Pay emulera en magstripe-transaktion om du håller telefonen över kortläsaren. Detta är mycket säkrare än att använda ditt faktiska kreditkort.

Ett scenario som ofta kräver att du använder magstripe är att betala för bränsle vid en bensinpump. Dessa är vanliga för attacker, eftersom många ännu inte stöder EMV- eller NFC-transcationer, och eftersom angripare kan få tillgång till pumparna utan att märka dem. Det är mycket säkrare att gå in och betala kassören. Om det inte finns en kassör på tjänst, använd samma tips för att använda bankomater och utforska kortläsaren innan du använder den.

Digitala attacker och lösningar

Det nyligen förekommande British Airways-hacket introducerade ett nytt koncept: den digitala kortskimmeren. I stället för en fysisk enhet för att fånga din kortinformation, eller en falsk nätfiskewebbplats som lurar dig att ange dina data, är en digital skimmer skadlig programvara som injiceras på en legitim webbplats.

Att bekämpa denna typ av attack är i slutändan upp till företagen att se till att deras webbplatser och tjänster är säkra. Men det finns några saker som konsumenter kan göra för att skydda sig. Ett alternativ är att använda virtuella kreditkort. Det här är dummy-kreditkortsnummer som är länkade till ditt riktiga kreditkortkonto. Om ett komprometteras behöver du inte få ett nytt kreditkort, bara generera ett nytt virtuellt nummer. Vissa banker, som Citi, erbjuder detta som en funktion så fråga din om det är tillgängligt.

Om du inte kan få ett virtuellt kort från en bank erbjuder Abine Blur maskerade kreditkort till prenumeranter. Det här är förbetalda kreditkort som du kan skapa i farten och använda för online-köp. Abine tillhandahåller även ett falskt namn och en faktureringsadress som du kan använda, vilket ytterligare döljer din personliga information. Om en av dessa utsätts förlorar du inga pengar eller privat information.

Ett annat alternativ är att registrera sig i kortvarningar. Ally Bank skickar till exempel en pushvarning till din telefon varje gång ditt betalkort används. Detta är praktiskt eftersom du omedelbart kan identifiera falska inköp. Om din bank levererar ett liknande alternativ kan du försöka slå på den.

Håll dig medveten

Om du inte märker att en kort skimmer och dina kortdata blir stulen, ta hjärta. Så länge du rapporterar stölden till din kortutgivare (för kreditkort) eller bank (där du har ditt konto) så snart som möjligt kommer du inte att hållas ansvarig för det förlorade beloppet och dina pengar kommer att returneras. Företagskunder har å andra sidan inte samma rättsliga skydd och kan ha svårare tid att få tillbaka sina pengar.

Försök också använda ett kreditkort när det är möjligt. En debettransaktion är en omedelbar kontantöverföring och kräver att du gör ett FDIC-krav som kan ta veckor att behandlas. Kreditkortstransaktioner kan stoppas och vändas när som helst, och genom att göra det sätter man press på köpmännen att bättre säkra sina bankomater och försäljningsterminaler.

Rätt rapportering är mycket viktigt i fall av bedrägeri, så se till att hålla ett öga på dina betalkort och kreditkortstransaktioner. Personliga finansappar som Mint.com kan underlätta uppgiften att sortera genom alla dina transaktioner.

• Abine Blur Premium Abine Blur Premium
• Feds varnar för "Jackpotting" -automathackar i USA Feds varnar för "jackpotting" -automathackar i USA
• Se en kortskimmer installeras i sekunder Titta på en kortskimmer installeras i sekunder

Slutligen, uppmärksamma din telefon. Banker och kreditkortsföretag har i allmänhet mycket aktiva policyer för bedrägeriupptäckt och kommer omedelbart att nå dig, vanligtvis via telefon eller SMS, om de märker något misstänkt. Att reagera snabbt kan innebära att stoppa attacker innan de kan påverka dig, så håll din telefon till hands.

Kom bara ihåg: Om något inte känns bra med en bankomat eller kreditkortsläsare, använd det inte. När du än kan använda chipet istället för remsan på ditt kort. Ditt bankkonto kommer att tacka dig.