你有没有想过信用卡和借记卡是多么不安全?试试这个实验:把USB磁条读取器插入电脑,打开文字处理器,刷一张信用卡,然后砰地一声,你就窃取了自己的卡信息。就这么简单。
现在想一想,同样的技术以更快、更小的形式出现。可以在自动取款机和支付终端上安装微小的“掠夺器”,从卡的磁条(称为“磁条”)中窃取数据。甚至更小的“微光”也会被放入读卡器中,以攻击较新的读卡器上的芯片。现在还有一个名为电子略读的数字版本,从支付网站窃取数据。
担心吗?保护自己不受这些骗子的伤害的第一步是更多地了解他们。请继续阅读,了解他们试图窃取您的信息和金钱的完整方式。
什么是Skimmer?
掠夺器是隐藏在合法读卡器中的微型恶意读卡器,它从每个刷卡的人那里获取数据。在让硬件窃取数据一段时间后,窃贼会在被攻破的机器前停下来,捡起包含所有被盗数据的文件。有了这些信息,他就可以创建克隆卡或干脆实施欺诈。也许最可怕的部分是,撇油器往往不会阻止自动取款机或信用卡读卡器正常工作,从而使它们更难被发现。
自动取款机很难进入,所以自动取款机的撇卡器有时可以放在现有的读卡器上。大多数情况下,攻击者还会在附近的某个地方放置一个隐藏的摄像头,以记录用于访问账户的个人识别码。摄像头可能安装在读卡器中,安装在自动取款机的顶部,甚至可能安装在天花板上。一些犯罪分子甚至在实际键盘上安装假PIN垫,直接捕捉PIN,而不需要摄像头。
这就是撇油器。这台机器很容易辨认,因为它的颜色和材质与机器的其他部分不同,但还有其他迹象表明这一点。这是一个迹象,因为真正的读卡器在卡槽和箭头之间会有一些空间,所以在现有的读卡器上安装了撇卡器。
自动取款机制造商还没有对这种欺诈行为坐视不理。较新的自动取款机拥有强大的防篡改能力,有时还包括旨在探测插入或连接到自动取款机上的物体的雷达系统。然而,一名研究人员使用自动取款机的机载雷达设备捕获个人识别码,这是一个精心策划的骗局的一部分。
Skimmer仍然是一个威胁吗?
在为这篇文章做研究时,PCMag联系了卡巴斯基实验室,公司代表说了一些令人惊讶的事情:略读攻击正在减少。卡巴斯基的发言人说:“撇油在过去和现在都是一件罕见的事情。”
卡巴斯基代表引用了欧洲安全交易协会(EAST)的欧盟统计数据,认为这表明了一种更大的趋势。据报道,东部地区的撇油器攻击事件创历史新低,从2020年4月的1496起下降到同年10月的321起。这种下降可能与新冠肺炎的影响有关,但也是戏剧性的。
当然,这并不意味着撇油已经消失了。2021年1月,新泽西州破获了一起重大撇油骗局。它涉及对1000多名银行客户的攻击,犯罪分子试图偷走超过150万美元。
从掠夺者到闪光者
当美国银行最终赶上世界其他地区并开始发行芯片卡时,这对消费者来说是一个重大的安全恩惠。与老式支付卡极其简单的磁条相比,这些芯片卡或EMV卡提供了更强大的安全性。但窃贼学得很快,他们有多年的时间来完善欧洲和加拿大针对芯片卡的攻击。
取而代之的是读卡器内部的闪光灯,而不是位于磁条读卡器顶部的撇卡器。这些都是非常非常薄的设备,从外面看不到。当你将卡滑入时,闪光器会从卡上的芯片中读取数据,就像掠取器读取卡磁条上的数据一样。
然而,有一些关键的不同之处。首先,EMV附带的集成安全意味着攻击者只能从撇油器获得相同的信息。在他的博客中,安全研究员Brian Krebs解释说,尽管通常存储在卡的磁条上的数据被复制到芯片卡内部,但芯片包含磁条上找不到的额外安全组件。
窃贼无法复制EMV芯片,但他们可以使用芯片中的数据来克隆磁条或使用其信息进行其他欺诈。与我交谈的卡巴斯基代表明确表示,他们对芯片卡充满信心。卡巴斯基对PCMag说:“EMV仍然没有坏掉。”“唯一成功的EMV黑客攻击是在实验室条件下进行的。”
真正的问题是,受害者的机器里隐藏着微光。下图中的微光是在加拿大发现的,并报告给了加拿大皇家骑警。它只不过是印在一张薄塑料片上的集成电路。
避免网上信用卡刷卡的3种方法
不足为奇的是,有一种被称为电子略读的数字版本。2018年英国航空公司的黑客攻击显然严重依赖于这种策略。
正如BitDefender的威胁研究和报告主管Bogdan Botezatu解释的那样,电子掠夺是指攻击者将恶意代码插入支付网站,窃取您的信用卡信息。
Botezatu说:“这些电子掠夺器要么是通过泄露在线商店的管理员帐户凭据、商店的网络托管服务器,要么是通过直接危及[支付平台供应商]的安全,这样他们就会分发受污染的软件副本。”这类似于钓鱼页面,不同之处在于该页面是可信的–页面上的代码刚刚被篡改。
Botezatu说:“电子略读攻击正变得越来越善于逃避检测。”攻击者保持这种立足点的时间越长,他们能够收集的信用卡就越多。
打击这种类型的攻击最终取决于经营这些商店的公司。以下是你可以做的一些保护自己的事情:
Botezatu建议消费者在电脑上使用安全套件软件,他说这种软件可以检测恶意代码,防止你输入信息。
通过使用虚拟信用卡,您可以完全避免输入信用卡信息。这些是虚拟的信用卡号码,链接到您的真实信用卡帐户。如果其中一个被攻破,你将不需要获得新的信用卡,只需生成一个新的虚拟号码即可。一些银行,如花旗银行,提供这项服务作为一项功能,所以问问你的银行是否有这项服务。如果你无法从银行获得虚拟信用卡,Abine Blur会向用户提供屏蔽信用卡,其工作方式与此类似。一些网站也接受Apple Pay和Google Pay。
一些银行会在你每次使用借记卡时向你的手机发送推送警报。这很方便,因为您可以立即识别虚假购买。如果你的银行提供类似的选择,试着打开它。像Mint.com这样的个人理财应用可以帮助你轻松地对所有交易进行分类。
警惕阻止信用卡诈骗者
即使你做的每一件事都是正确的,检查了你遇到的每一台支付机器的每一寸东西(这让你后面的人非常懊恼),你也可能成为欺诈的目标。但要振作起来:只要你尽快向你的信用卡发行商(信用卡)或银行(你有账户的地方)报告失窃事件,你就不会被追究责任。你的钱会被退还的。另一方面,商业客户没有同样的法律保护,可能更难拿回他们的钱。点击这里查看我们的指南,以阻止ATM诈骗者的踪迹。
如果自动取款机或信用卡阅读器有什么不对劲的地方,就不要使用它。你的银行账户会感谢你的。
Fahmida Y.Rashid对本文也有贡献
有话要说...