web-dev-qa-db-ja.com

スキマーやその他のATMトラップの検出

この質問は、最初に ATMスキマー について聞いて以来、私を悩ませてきました。

加害者がデバイスをカードスロットの上に置いたスキミングの事例が報告されています* ATM(現金自動預け払い機)の1つで、ユーザーが無意識のうちにカードを通過させるときに磁気ストリップを読み取ります。これらのデバイスは、ユーザーのPIN=を同時に読み取るために、ミニチュアカメラ(ATMに目立たないように接続されている)と組み合わせて使用​​されることがよくあります。この方法は、世界の多くの地域で非常に頻繁に使用されています...

出典: Wikipedia

 ATM skimmer device being installed on front of existing bank card slot

*既存の銀行カードスロットの前面にインストールされているATMスキマーデバイス(ソース: Hoax-slayer.com

銀行はこれまで、あらゆる種類のスキマーファシアとシースループラスチックスロットカバーを ATMs に設置することにより、このような脅威に対応してきました。 、ATM自体の警告ステッカー、ATMディスプレイのウェルカム画面などに役立つ情報を追加しましたが、特定のATMが安全に使用できるかどうかを確認するための単一でシンプルで防弾方法はまだ考えられません。改ざんされ、デバイスがインストールされて、クレジットカード情報を収集し、PINを記録しています。

Anti-fraud/anti-skimming device

不正防止/スキミング防止装置

ここに私が読んでいるいくつかの提案があります:

  • カメラを確認する:PINを取得しようとしているハッカーは、キーパッドの上のライトにカメラを置くことがあります。カメラである可能性のあるはみ出しているものについては、上部を感じてください。
  • カードスロットを引く:カードスティーラーは、ATMをいじるのに長い時間を費やすことができないため、多くの場合、カードスキマーの取り付けと取り外しは簡単です。 ATMのカードリーダーが動いたり緩んだりした場合でも、危険を冒さないでください。
  • キーパッドを振る:ハッカーは、実際のキーパッドの上に偽のキーパッドを置いて、PINを見つけます。キーパッドが緩んでいるように見える場合は、別のATMを試してください。

ソース: consumerist.com

ハッカーはよりスマートになり、スキミングデバイスの検出をより高度で困難にするテクノロジーが普及しています(例:3Dプリンター、ピンホールを介してPINを記録できる小さなカメラなど)。では、私たち、消費者は、これらすべてをどのように検出するのでしょうか? ATM自体は、銀行ごと、国ごとに大きく異なります。同じ銀行でも複数の異なるATMを使用する場合があり、アンチスキミングフェイシアはまったく異なる場合があります。ハッカーは非常に接着されたオーバーレイキーボードとスキマーを持っている可能性があり、カメラは非常に小さく隠されている可能性があるため、検出がほぼ不可能であるか、完全な回路(リーダー、カメラ、シェバン全体)が非常によく偽装されてほぼ同一に見えるATMオリジナルの鼻隠しに。

enter image description here

PINカメラのスロットカバーとピンホールを示すATMスキマー。気づきましたか?

上の写真の例は、ATM自体のプラスチック製の鼻隠しに色と質感を一致させている場合、さらに恐ろしいかもしれません。本当にやるのが難しいと気づきました。しかし、たとえそうであっても、それはまだ日光の下で少しカジュアルすぎる顧客をだますのに十分偽装されており、おそらく夜間や人工照明の下で最も注意深い顧客でさえもだまされます。カメラのピンホールが非常に小さいことに注意してください。ピンホールの周りに汚れのしみを付けると、目立たなくなります。

これらすべてを念頭に置いて、私の質問は:

ATMが改ざんされ、スキミングデバイス(または他のトラップ)があった場合、適切な時間内に攻撃者がそれまでに学んだことよりも賢く、よりよく装備されていると想定して、どうすれば検出できますか?インストールされていますか?

私は質問を意図的にわずかに解釈に任せました。銀行が使用する最新かつ最高のATM詐欺防止テクノロジー、および平均のATMユーザーがそのような詐欺スキームやデバイスを検出する方法についての良い提案があれば、それに興味があります。 。

51
TildalWave

エンドユーザーの観点から、私は通常、リーダーと周囲のプレートをこぶしで叩き、キーまたはナイフでフェースプレートをはがしてみます。問題は、最高品質のスキマーが検出されないことです。 POSマシンはハッキングされる可能性があります これはほとんど検出できないシナリオになります。スキミングを避けたい場合の最善の策は、銀行の窓口で現金化することです:)

会社の観点から、私は最近、ATMマニュアルを熟読することからスキマーに対する2つの新しい防御に遭遇しました(私は現在それらといくつかの作業をしており、すべてのマニュアル/仕様を持っています)

  • 1)カードリーダーの前にある障害物を長期間検出して、アラートをトリガーするセンサー。これらのセンサーは、問題のATMに応じて、光センサー、近接センサー、およびビームセンサーです。これらは両方ともカードリーダーの内部とデバイスの周囲に取り付けられています。

  • 2)一定のRF=信号を検出するセンサー。xx秒以上送信すると(正確な時間枠については触れません)、アラートがトリガーされます。マニュアルから:

無線周波数(RF)検出は、カードホルダーを不正にキャプチャする目的で、ATMに取り付けられたアナログ送信スパイカメラの検出に使用されますPINエントリ。RF検出はRFアラートを検出すると同時にセンサーによって詐欺デバイスが検出された場合、アラートをトリガーしませんが、追加のサポート情報をアラートに提供します。

さらに:

HSFDは次の要素で構成されています。

  • 操作盤

  • RF検出センサー(オプション)

  • 1〜6個のセンサー
  • セルラーモデム(アラートを送信するため)、個別のアンテナ(オプション)。

次の図は、高セキュリティ詐欺検出(HSFD)機能の概要を示しています。破線はオプションのコンポーネントを示します。 High Security Fraud Detection (HSFD)

アラートは通常、ATMを所有する銀行によって制御されているどこかの場所に戻る中央監視ソリューションに戻ります

最近発表された SRS“ Secure revolving system” と呼ばれるアンチスキミング技術の新しい概念実証があります。ビデオ 動作中 があります。 元のストーリーはこちら

実際のSRSデバイスは次のようになります。 SRS device

基本的に、それは(通常のカード入力方法とは対照的に)カードを「横向き」に受け入れ、それを受け入れる前に90度回転させます。これは基本的にデバイス上に取り付けられたフェースプレートを防ぎ、スキマーの配置を非常に困難にします。

30
NULLZ

最新のスキマーは表示されません 。これらのスキマーはウェーハを薄くし、カードリーダーに挿入します。

enter image description here

さらに悪いことに、修正は純粋にソフトウェアで行うことができます。 ATMはハッキングされる可能性があります 、それらのソフトウェアは、すべてのユーザーのマグストリップとピンをログに記録するように変更できます。

これは負けた戦いで、ATMを使用するたびにチャンスを得ます。セキュリティは相対的であり、特に悪い地域では、一般的にATMの使用は避けたいと言われています。関連するオンラインバンキングも簡単ではありません: インターネット上の銀行口座へのアクセスは本当に安全ですか?

12
rook

本当にできる最善の方法は、知っているATMを使用するか、わかっているATMが利用できない場合は物理的なセキュリティが優れているATMを使用することです。 (銀行内のATMに移動します)。それでも、私は常に改ざんの形跡がないかマシンをスポットチェックします。

うまくいく簡単なトリックは、キーパッドが(見たり引っ張ったりして)危害を受けていないことを確認し、それが有効に見える場合は、コードを入力するときに片方の手をもう一方の手にかざすことです。カメラです、あなたの入力を見ることができません。

結局、それはまだ負けた戦いであり、完璧なものは何もありませんが、それは私がいつも従うヒントです。将来的には、追加のATMセキュリティのためにOTP(ワンタイムパスワード)生成を実際に使用するシステムに移行できることを願っています。

6
AJ Henderson

安全な回転システム

これは最新のスキミング防止技術です。挿入時にカードを回転させ、スキマーが磁気データストリップにロックするのを防ぎます。最近、刑務所のカードスキマーによって発明されました。発表されました こちら
それでも、Rookが前述したように、セキュリティは相対的です。ソフトウェアは依然としてハッキングされる可能性があり、SRSはそれを防御できません。また、SRSと同じパターンに一致するスキャナーを回転させながらカードをスキャンしようとするカードスキマーが将来的に存在する可能性もあります。しかし、今のところ、あなたの質問への答えとして、Secure Revolving Systemsは期待できるものです。

3
DarrenVortex