Uważaj na bankomat, nie ufaj terminalowi
Dawno o skimmerach nie było, ale w tym aspekcie zawsze można liczyć na Briana Krebsa, dla którego temat kradzieży danych z kart płatniczych jest jednym z „koników”. Połowa wakacji za nami, ale bankomat to wciąż urządzenie, które w tym okresie używamy bardzo często. Przestępcy też o tym wiedzą – ciekawe, czy rozwiązania, o których pisze Brian, można już znaleźć w polskich bankomatach?
Ilu z Was sprawdza bankomat przed włożeniem doń karty? Czy klawiatura nie wygląda podejrzanie, a może coś odstaje? Coś w rodzaju szóstego zmysłu, takie „coś mi to nie pasuje”. Mam nadzieję, że przynajmniej zawsze zasłaniacie klawiaturę przy wpisywaniu PINu? Co jednak jeśli na zewnątrz wszystko jest w porządku, urządzenie jest nienaruszone, nie ma żadnych kamer, a po jakimś czasie okazuje się, że z Waszego konta zniknęły pieniądze? Przestępcy użyli skimmera wsuwanego do slotu karty, to cieniutki sprzęt, niewiele cieńszy od opłatka. O ile tego typu przestępcze urządzenia to nic nowego, amerykański bloger opisał skimmer, który korzystając z zasilania „gospodarza” wysyła wykradzione dane SMSem do przestępcy.
Ciekawe jak/czy podatne na tego typu ataki są urządzenia, używane w naszym kraju. Polska – co wciąż wielu dziwi – w porównaniu do USA jest znacznie nowocześniejsza w kwestii płatności/bankowości. Tam bowiem na nowe rozwiązania migruje się ze starych, a u nas po prostu zaczyna się od nowoczesności. Producenci bankomatów nie chwalą się wprowadzonymi rozwiązaniami bezpieczeństwa. Swego czasu jednak podczas konferencji Confidence specjaliści od pentestów tych urządzeń twierdzili, że w ich karierze nie oparło im się żadne. Jeśli jednak nawet nowoczesne bankomaty wykryją „pasożyta” – nowoczesność może odwrócić się przeciwko nam. Przecież bankomat nie jest jedynym miejscem, w którym używamy kart płatniczych. A kasy samoobsługowe? A spotykane coraz częściej dystrybutory na stacjach benzynowych, w których możemy zapłacić od razu po zatankowaniu? Notabene to właśnie w tych ostatnich odkryto SMSowe skimmery. Miejsc, w których możemy płacić kartami, jest bardzo dużo i zapewne nie wszędzie dbają o bezpieczeństwo.
To co teraz? Omijać każdy bankomat szerokim łukiem? Bez przesady, jednak zasada ograniczonego zaufania zawsze powinna być naszym przyjacielem, gdy rzecz idzie o pieniądze. Jeśli podchodząc do maszyny rutynowo ją oglądacie, szarpiecie slotem na kartę, usiłujecie zdjąć klawiaturę – róbcie tak dalej! Warto, gdy tylko możemy, korzystam z BLIKa lub Android Pay. W obu sytuacjach nie występuje interakcja urządzenie-karta, w pierwszej jednorazowy kod potwierdzamy w smartfonowej aplikacji, zaś w drugiej przy transakcji dotykowej nie jest używany numer faktycznej karty płatniczej. Warto też korzystać z informacji push/SMS o transakcjach na naszym koncie, co może pozwolić zapobiec jego nagłemu wyczyszczeniu.
Fotografia ATM Keypad 2 autorstwa Williama Grotoonka na licencji CC BY-SA 2.0