Source: krebsonsecurity.comLes skimmers sous forme de superpositions pour les terminaux deviennent de plus en plus populaires. Étant donné que les terminaux Ingenico sont répandus dans un certain nombre de pays, y compris aux États-Unis, les créateurs de skimmers aériens accordent la plus grande attention à ces appareils. Malgré le fait que les spécialistes des technologies de l'information tentent de parler de ce problème et du danger qu'il pose, il n'y a pas moins d'écrémeurs. L'autre jour, Brian Krebbs a montré de nouvelles photos de ces appareils. Des photos (pas de la meilleure qualité) lui ont été envoyées par des représentants d'un certain nombre de détaillants américains, dans les points de vente où des couvercles de bornes ont été installés.
Un tel modèle est un skimmer avec un module sans fil Bluetooth. Il est conçu pour voler les données utilisateur de la carte lorsqu'elle est utilisée dans le terminal. Le skimmer, en particulier, enregistre le code PIN et le transmet via Bluetooth à l'appareil connecté, qui doit être situé dans un rayon de 30 mètres du terminal compromis.
Ce skimmer a été découvert par hasard. Le fait est qu'un employé du magasin où se trouvait cet appareil a remarqué qu'il était devenu difficile d'appuyer sur deux boutons du terminal. Il a décidé de comprendre les causes du problème et a vu que le cache-bornes était un revêtement installé par une personne inconnue. Après cela, l'employé a vérifié les autres terminaux et a trouvé deux autres superpositions.
Superposition au dos. Source: krebsonsecurity.comLes cardeurs qui volent des données de cartes bancaires ne créent pas nécessairement de tels appareils eux-mêmes. Il ne s'agit plus d'une production artisanale, leur développement a été mis en place et de nombreux modèles d'écumoires peuvent être achetés sur Internet presque ouvertement. La vidéo ci-dessous montre l'écumoire pour le modèle de terminal Ingenico iSC250. Il s'agit presque du même modèle dont les photographies ont été envoyées à Krebs.
La vidéo ne montre pas trop bien les composants électroniques du système, mais le module de communication sans fil est montré en détail.
Étant donné que l'appareil est sans fil, on peut s'attendre à ce que l'attaquant qui a installé la superposition sur le terminal du magasin se trouve quelque part à proximité (par exemple, dans une voiture garée à proximité) et reçoive des données lues par l'appareil en temps réel. En effet, l'appareil n'a pas sa propre mémoire, donc l'option de visiter périodiquement le lecteur par son propriétaire est exclue. Il existe une autre option: un skimmer transfère des données vers un appareil caché à proximité. Vous pouvez vous connecter à la superposition via Bluetooth en utilisant le code "2016".
Source: krebsonsecurity.comLes experts qui ont examiné ces skimmers affirment que de nombreux composants proviennent de téléphones Samsung.
Comment distinguer un terminal Ingenico compromis d'un terminal normal?
Sur son blog, Krebbs
montre comment distinguer un terminal compromis d'un appareil sans superposition. Il semble que les développeurs de superpositions les modifient rapidement, changeant leur conception quand on connaît les caractéristiques distinctives de ces appareils. Mais jusqu'à présent, ces informations sont pertinentes.
Ainsi, la principale différence réside dans la taille de certains éléments des terminaux et des skimmers. Peu importe la façon dont vous modifiez la conception, il y aura toujours des différences.
Gauche - superposition, droite - modèle de terminal iSC250 d'IngenicoPour que le patch soit placé sur le terminal, il doit être plus large et plus long que le boîtier de l'appareil d'origine. Une personne qui sait à quoi ressemble le terminal reconnaît rapidement un faux. Mais les acheteurs ou les vendeurs inexpérimentés peuvent ne pas remarquer le changement. La différence réside également dans la taille de la bande en plastique située à droite de la fente pour la carte magnétique.
Une autre différence est la luminosité du rétroéclairage du clavier du terminal d'origine et la superposition. Les boutons du skimmer seront beaucoup plus faibles lorsqu'ils ferment les boutons du terminal lui-même.
A gauche - le clavier du terminal sans skimmer, à droite - avec skimmerEnfin, une autre caractéristique distinctive est l'absence d'une LED verte sur le terminal avec un skimmer. Ce dernier ferme simplement la LED. Donc pendant la transaction, la lumière ne s'allume pas. Certes, certains pads ont un trou spécial, de sorte que la LED est clairement visible.
Source: krebsonsecurity.comIl y a encore un point. Le fait est que certains modèles de terminaux sont équipés d'un stylet. Dans certaines situations, les acheteurs apposent une signature électronique à l'aide d'un tel stylet, la laissant sur l'écran de l'appareil. Mais le pavé bloque le stylet. C'est probablement le signe le plus perceptible de la présence d'un patin de skimmer.
L'écumoire s'installe en quelques secondes. La caméra de l'un des magasins de Miami Beach a enregistré l'installation d'une superposition en seulement trois secondes. Les fraudeurs ont travaillé en binôme: l'un a distrait le vendeur, le second - a installé l'appareil.
En plus des terminaux mobiles, les cardeurs installent des lecteurs sur les guichets automatiques (beaucoup d'options) et même aux portes des banques avec un lecteur de carte de crédit installé. En utilisant un tel lecteur, vous pouvez ouvrir la porte pendant les heures non ouvrables de la banque pour accéder au guichet automatique. L'écumoire lit les données de la bande magnétique et la caméra de surveillance du code PIN est installée à l'intérieur, à proximité de l'ATM.
Règles de sécurité
Les experts recommandent les règles de sécurité suivantes lorsque vous travaillez avec des distributeurs automatiques de billets ou des terminaux:
- Vous ne devez pas utiliser de guichets automatiques dans des pièces sombres et avoir l'air étranges. Il est préférable, dans la mesure du possible, de retirer de l'argent dans des appareils éprouvés;
- Si votre voix intérieure dit que quelque chose ne va pas avec l'ATM, ne travaillez pas avec. Les experts disent que les victimes de cardeurs ont souvent une mauvaise impression de regarder un guichet automatique. Tout s'explique simplement - une personne saisit inconsciemment quelques bizarreries dans la structure d'un GAB, mais ne comprend pas toujours ce qui ne va pas exactement;
- En entrant le code PIN, vous devez fermer le clavier avec votre main. Cette règle s'applique à la fois lorsque vous travaillez avec un GAB et avec un terminal.