Dawno o skimmerach nie było, co nie? Ale w tym aspekcie zawsze można liczyć na Briana Krebsa, dla którego temat kradzieży danych z kart płatniczych jest jednym z "koników". Połowa wakacji za nami, ale bankomat to wciąż urządzenie, które w tym okresie używamy bardzo często. Przestępcy też o tym wiedzą i przyznam Wam szczerze, że zastanawiam się, czy rozwiązania, o których pisze Brian, można już znaleźć w polskich bankomatach?
Bankomat wyglądał normalnie!
Ilu z Was sprawdza bankomat przed włożeniem doń karty? Czy klawiatura nie wygląda podejrzanie, a może coś odstaje? Wiecie - szósty zmysł, "coś mi to nie pasuje". Mam nadzieję, że przynajmniej zawsze zasłaniacie klawiaturę przy wpisywaniu PINu? Dobra, ale co jeśli na zewnątrz wszystko jest w porządku, urządzenie jest nienaruszone, nie ma żadnych kamer, a po jakimś czasie okazuje się, że z Waszego konta zniknęły pieniądze? Jakim cudem? Ano takim, że przestępcy... włożyli skimmer do slotu karty. Nie taką wielką nakładkę - cieniutki sprzęt, niewiele cieńszy od opłatka! O ile tego typu przestępcze urządzenia to nic nowego, amerykański bloger opisał skimmer, który korzystając z zasilania "gospodarza" wysyła wykradzione dane SMSem do przestępcy.
Skimmer tu, skimmer tam
Ciekaw jestem, jak bardzo podatne na tego typu ataki są urządzenia, używane w naszym kraju. Polska - co wciąż wielu dziwi - w porównaniu do USA jest znacznie nowocześniejsza w kwestii płatności/bankowości. Tam bowiem na nowe rozwiązania migruje się ze starych, a u nas po prostu zaczyna się od nowoczesności. Producenci bankomatów nie chwalą się wprowadzonymi rozwiązaniami bezpieczeństwa. Pamiętam jednak występ na konferencji Confidence specjalistów od pentestów tych urządzeń, którzy stwierdzili, że w ich karierze nie oparło im się żadne. Jeśli jednak nawet nowoczesne bankomaty wykryją "pasożyta" - nowoczesność może odwrócić się przeciwko nam. Przecież bankomat nie jest jedynym miejscem, w którym używamy kart płatniczych. A kasy samoobsługowe? A spotykane coraz częściej dystrybutory na stacjach benzynowych, w których możemy zapłacić od razu po zatankowaniu? Notabene to właśnie w tych ostatnich odkryto SMSowe skimmery. Miejsc, w których możemy płacić kartami, jest bardzo dużo i stawiam dolary przeciwko orzechom, że nie wszędzie dbają o bezpieczeństwo.
Z kartą, ale bez karty
To co teraz? Omijać każdy bankomat szerokim łukiem? Nie przesadzałbym, ale zasada ograniczonego zaufania zawsze powinna być naszym przyjacielem, gdy rzecz idzie o pieniądze. Jeśli podchodząc do maszyny rutynowo ją oglądacie, szarpiecie slotem na kartę, usiłujecie zdjąć klawiaturę - róbcie tak dalej! Dodatkowo ja, gdy tylko mogę, korzystam z BLIKa lub Android Pay. W obu sytuacjach nie występuje interakcja urządzenie-karta, w pierwszej jednorazowy kod potwierdzamy w smartfonowej aplikacji, zaś w drugiej przy transakcji dotykowej nie jest używany numer faktycznej karty płatniczej. Oczywiście oba rozwiązania dostępne są m.in. w Orange Finanse :) Warto też korzystać z informacji o transakcjach na naszym koncie. Moja żona twierdzi co prawda, że to nieco "creepy" i ma wrażenie, że ją śledzę ;) Jeśli jednak mam dzięki temu ustrzec się przed niespodziewanymi transakcjami z mojego konta, to cel zdecydowanie uświęca środki.
Fotografia ATM Keypad 2 autorstwa Williama Grotoonka na licencji CC BY-SA 2.0
Komentarze
Ja zawsze sprawdzam w bankomacie czy otwór na kartę i klawiatura jest oryginalna (dotyk + oko), jakoś tak już mam że na to zwracam uwagę. A co do kontroli działań na koncie to aplikacja mobilna mojego banku wysyła mi notyfikacje o każdej (nawet 1 groszowej) transakcji, zarówno uznaniowej jak i obciążeniowej, więc praktycznie od razu wiem że coś się dzieje. I to zarówno na koncie głównym jak i na OKO.
OdpowiedzBLIK i Android Pay… Staram się korzystać z tych usług gdzie tylko się da. Szkoda, tylko że aby skorzystać z wpłatomatu i tak muszę sięgnąć do portfela po tradycyjną kartę.
Odpowiedz