Détection des skimmers et autres pièges ATM

Question

Cette question me dérange depuis que j'ai entendu parler de skimmers ATM :

Des cas d'écrémage ont été signalés lorsque l'auteur a mis un appareil au-dessus de la fente pour carte^* d'un guichet automatique (guichet automatique), qui lit la bande magnétique lorsque l'utilisateur passe inconsciemment sa carte à travers elle. Ces appareils sont souvent utilisés en conjonction avec une caméra miniature (discrètement attachée à l'ATM) pour lire en même temps le PIN PIN) de l'utilisateur. Cette méthode est utilisée très fréquemment dans de nombreuses régions du monde. ...

^{source: Wikipedia}

ATM skimmer device being installed on front of existing bank card slot

^{* Un appareil d'écumeur ATM est installé à l'avant de l'emplacement pour carte bancaire existant (source: Hoax-slayer.com )}

Les banques ont jusqu'à présent répondu à de telles menaces en installant toutes sortes de fascias anti-skimmer et de caches en plastique transparents sur leurs ATMs , ont dépensé beaucoup pour éduquer les consommateurs sur la façon de détecter de tels appareils avec des brochures informatives , des autocollants d'avertissement sur les distributeurs automatiques de billets eux-mêmes, ont même ajouté des informations utiles aux écrans de bienvenue des écrans de distributeurs automatiques de billets et ainsi de suite, et pourtant je ne peux toujours pas penser à un moyen unique, simple et à toute épreuve d'établir si un distributeur de billets particulier est sûr à utiliser, ou ont été falsifiés et des appareils installés dessus pour collecter nos informations de carte de crédit et enregistrer nos codes PIN.

Anti-fraud/anti-skimming device

^{Dispositif anti-fraude/anti-écrémage}

Voici quelques suggestions sur lesquelles j'ai lu:

Vérifiez les caméras : Parfois, les pirates qui cherchent à obtenir des codes PIN mettent des caméras sur la lumière au-dessus du clavier. Sentez-vous au sommet de tout ce qui pourrait être un appareil photo.

Tirez sur la fente pour carte : les voleurs de cartes ne peuvent pas passer beaucoup de temps à jouer avec un guichet automatique, de sorte que les skimmers de cartes sont souvent faciles à installer et à retirer. Si le lecteur de cartes du GAB bouge ou semble lâche, ne le risquez pas.

Agitez le clavier : Les pirates mettent parfois de faux claviers sur le vrai pour comprendre votre code PIN. Si le clavier semble lâche, essayez un autre guichet automatique.

^{source: consumerist.com}

Les pirates informatiques deviennent de plus en plus intelligents, et la technologie permettant de détecter les appareils d'écrémage de manière plus avancée et plus difficile se généralise (par exemple, les imprimantes 3D, les minuscules caméras qui peuvent enregistrer des codes PIN à travers un trou d'épingle, ...). Alors, comment sommes-nous, consommateurs, censés détecter tout cela? Les distributeurs automatiques eux-mêmes varient considérablement d'une banque à l'autre, d'un pays à l'autre. Parfois, même les mêmes banques utiliseront plusieurs guichets automatiques différents, et les fascias anti-écrémage peuvent être complètement différents. Les pirates pourraient avoir un clavier superposé super collé et l'écumoire, la caméra peut être si petite et si bien cachée qu'elle serait presque impossible à détecter, ou les circuits complets (lecteur, appareil photo, tout le Shebang) extrêmement bien déguisés pour avoir l'air presque identiques aux guichets automatiques fascia d'origine.

enter image description here

^{Skimmer ATM montrant le couvercle de la fente et le trou d'épingle pour la caméra PIN. L'auriez-vous remarqué?}

L'exemple sur la photo ci-dessus pourrait être plus effrayant, s'il était de couleur et de texture assorties au propre fascia en plastique de l'ATM, et peut-être aussi un peu plus joli. Notant trop difficile à faire vraiment. Mais même tel qu'il est, il est toujours assez bien déguisé pour tromper tout client un peu trop décontracté à la lumière du jour, et peut-être même les plus prudents pendant la nuit et sous un éclairage artificiel. Remarquez à quel point le trou d'épingle de la caméra est petit. Mettez une tache de saleté autour du trou d'épingle, et ce serait imperceptible.

Donc, avec tout cela à l'esprit, ma question est:

Comment pouvons-nous détecter, dans un délai raisonnable et en supposant que les attaquants sont entre-temps plus intelligents et mieux équipés que ce que nous avons appris jusqu'à présent, si ATM a été falsifié et tout dispositif d'écrémage (ou d'autres pièges) installé dessus?

J'ai laissé la question intentionnellement légèrement ouverte à l'interprétation et je m'intéresse aux technologies antifraude ATM les plus récentes et les plus utilisées par les banques, ainsi qu'à toutes les bonnes suggestions sur la façon dont un utilisateur ATM moyen pourrait détecter de tels stratagèmes et dispositifs de fraude, le cas échéant .

NULLZ · Accepted Answer

Du point de vue de l'utilisateur final, je donne généralement un bon coup au lecteur et aux assiettes environnantes avec mon poing et j'essaye de décoller l'une des faces avant avec mes clés ou un couteau. Le fait est que les meilleurs skimmers ne sont pas détectables. Les machines POS peuvent être piratées ce qui se traduit par un scénario presque indétectable. Votre meilleur pari, si vous voulez éviter d'être écrémé, est de retirer de l'argent à un caissier à la banque :)

Du point de vue de l'entreprise, j'ai rencontré récemment deux nouvelles défenses contre les skimmers en parcourant les manuels ATM (je travaille actuellement avec eux et j'ai tous les manuels/spécifications)

1) Des capteurs pour détecter toute obstruction devant le lecteur de carte pendant de longues périodes déclenchent une alerte. Ces capteurs sont des capteurs de lumière, des capteurs de proximité et des capteurs de faisceau en fonction de l'ATM en question. Ceux-ci sont à la fois montés à l'intérieur du lecteur de cartes et autour de l'appareil en général.
2) Capteurs pour détecter des signaux constants RF. Si vous transmettez pendant plus de xx secondes (je ne mentionnerai pas le délai exact), cela déclenchera une alerte. Dans le manuel:

La détection par radiofréquence (RF) est utilisée pour détecter les caméras espions à transmission analogique installées sur le GAB afin de capturer frauduleusement le porte-carte PIN entry. RF detection does ne déclenche pas d'alerte, mais fournit des informations complémentaires à une alerte si un dispositif frauduleux est détecté par un capteur en même temps qu'une alerte de détection RF.

Aditionellement:

HSFD comprend les éléments suivants:

Tableau de contrôle

Capteur de détection RF (en option)

De un à six capteurs

Modem cellulaire (pour transmettre des alertes), avec antenne séparée (en option).

Le diagramme suivant présente une vue d'ensemble de la fonction de détection de fraude haute sécurité (HSFD). Les lignes pointillées indiquent les composants facultatifs:

Les alertes vont généralement à une solution de surveillance centrale de retour à la base, quelque part contrôlée par la banque propriétaire du GAB.

Il y a une nouvelle technologie anti-écrémage de preuve de concept appelée SRS "Secure revolving system" qui a été annoncée récemment, il y a une vidéo de in en action ici . Histoire originale ici

L'appareil SRS réel ressemble à ceci: SRS device

Fondamentalement, il accepte la carte "face dessus" (contrairement à la méthode d'entrée de carte habituelle), puis la fait pivoter de 90 degrés avant de l'accepter. Cela empêche fondamentalement toute plaque frontale d'être fixée sur l'appareil et rend très difficile le positionnement d'un skimmer.

rook · Answer

Les les skimmers les plus récents ne sont pas visibles . Ces skimmers sont minces et s'insèrent dans le lecteur de carte:

enter image description here

Pour aggraver les choses, la modification peut être purement logicielle. Les distributeurs automatiques de billets peuvent être piratés , leur logiciel peut être modifié pour enregistrer les bandes magnétiques et les broches de chaque utilisateur.

C'est une bataille perdue et vous tentez chaque fois que vous utilisez un guichet automatique. La sécurité est relative, cela étant dit, j'éviterais d'utiliser les distributeurs automatiques de billets en général, en particulier dans un mauvais quartier. Les services bancaires en ligne ne sont pas non plus infaillibles, liés: L'accès au compte bancaire sur Internet est-il vraiment sécurisé?

AJ Henderson · Answer

Le mieux que vous puissiez faire est d'utiliser des distributeurs automatiques de billets que vous connaissez ou des distributeurs automatiques de billets qui ont une bonne sécurité physique si vous ne connaissez pas. (allez à un guichet automatique dans une banque). Même alors, je vérifie toujours la machine pour détecter tout signe de falsification.

Une astuce simple qui peut bien fonctionner est de s'assurer que le clavier n'est pas compromis (en le regardant et en le tirant) puis s'il semble valide, mettez une main sur l'autre pendant que vous tapez le code, donc même s'il y a est un appareil photo, il ne peut pas voir votre entrée.

En fin de compte, c'est toujours une bataille perdue et rien n'est parfait, mais c'est les conseils que je suis habituellement. Espérons qu'à l'avenir, nous pourrons passer à un système qui utilise réellement la génération OTP (mot de passe unique) pour une sécurité ATM accrue.

DarrenVortex · Answer

Systèmes rotatifs sécurisés

Ceci est la dernière technologie anti-écrémage. Il fait essentiellement pivoter la carte lors de son insertion, empêchant les skimmers de se verrouiller sur la bande de données magnétique. Il vient juste d'être inventé par un écumeur de cartes en prison. Il a été annoncé ici .
Quoi qu'il en soit, comme Rook l'a mentionné précédemment, la sécurité est relative. Les logiciels peuvent toujours être piratés et le SRS ne peut pas se protéger contre cela. Il peut également y avoir des skimmers de cartes à l'avenir qui essaieront de numériser la carte tout en faisant tourner le scanner, en suivant le même modèle que le SRS. Mais pour l'instant, en réponse à votre question, les systèmes rotatifs sécurisés sont des choses à espérer.