Atak kartowych klonów

Według doniesień amerykańskich mediów, cyberprzestępcy dokonują na szeroką skalę manipulacji w urządzeniach odczytu kart płatniczych umieszczonych w automatach na stacjach benzynowych, aby w ten sposób wykradać dane o kartach.

Terminale płatnicze na stacjach benzynowych stały się calem ataków cyberprzestępców
Terminale płatnicze na stacjach benzynowych stały się calem ataków cyberprzestępcówAFP

Do tej pory takie ataki były stosowane raczej w przypadku bankomatów, w których oszuści za pomocą nakładek do tzw. skimmingu umieszczanych przed otworem do wsuwania kart pobierali dane z pasków magnetycznych, aby następnie tworzyć kopie. Kody PIN były wykradane za pomocą ukrytych kamer albo dodatkowych nakładek na klawiatury bankomatów przykrywających właściwe pola z klawiszami.

W nowo zaobserwowanych przypadkach urządzenia do skimmingu umieszczone na terminalach kolumn paliwowych za pośrednictwem łączy Bluetooth wysyłały dane do przestępców, którzy znajdowali się w pobliżu. Ci z użyciem podrobionych kart mogli następnie pobierać gotówkę z automatów. Nieznani sprawcy na razie zmanipulowali około 180 automatów paliwowych z funkcją płatności. Ich działalność udało się wykryć dlatego, że zaobserwowano, iż wielu klientów, którzy stali się ofiarami takiego ataku, korzystało z pewnego określonego automatu w sieci 7-Eleven.

Także w Polsce i u naszych zachodnich sąsiadów coraz częściej spotyka się stacje benzynowe, na których można uregulować należność bezpośrednio przy dystrybutorze. W tym celu jednak trzeba włożyć kartę jeszcze przed tankowaniem i wprowadzić kod PIN, tak aby automat Outdoor Payment Terminal (OPT) mógł sprawdzić stan środków na koncie. Na razie jednak media nie donosiły o atakach skimmingowych na naszych stacjach benzynowych.

Podobnie do stosowanych obecnie terminali do kart w sklepach, także i na stacjach benzynowych są systemy obsługujące metody EMV, w których chip na karcie komunikuje się z terminalem w sposób mniej lub bardziej zaszyfrowany, utrudniając w ten sposób ataki. Niestety, zarówno karty EC, jak i karty kredytowe ze względu na konieczność zachowania kompatybilności wciąż są wyposażane w pasek magnetyczny; przestępcy mogą skanować paski i uzyskiwać w ten sposób wgląd do danych, na których im zależy.

Tak czy owak dla klienta nie ma znaczenia, czy przy płatności używane są metody EMV bądź też wykorzystuje się pasek magnetyczny - zwykle i tak dostaje on rekompensatę poniesionych strat. Ta różnica ma znaczenie jedynie z punktu widzenia ustalania odpowiedzialności w razie wystąpienia szkód. Jeśli karta nie była zdolna do obsługi technik EMV, odpowiedzialność ponosi wystawca, a więc zwykle bank. Jeśli zaś to terminal nie był zdolny do obsługi EMV, odpowiedzialność spada na handlowca. Niedawno jednak brytyjscy naukowcy wykazali, że także zabezpieczenia metody EMV da się obejść.

Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas