Čo je skimming v kybernetickej bezpečnosti?

Skimming v kybernetickej bezpečnosti je rýchly a interaktívny spôsob, ako rýchlo získať údaje o platobných kartách a osobné informácie z bankomatov a pokladničných skenerov. Sledovacie zariadenia, nevyžiadané e-maily a škodlivý kód JavaScript používaný pri kybernetických krádežiach tajne zachytávajú a prenášajú údaje o držiteľoch kariet v reálnom čase bez vedomia obete. Riešením pre oneskorenú detekciu a vyšetrovanie je však použitie inovatívnych riešení, ako je RiskRecon od spoločnosti Mastercard. 

Existujú dva hlavné typy skimmingových útokov: 

• Fyzické skimming zahŕňa skimmery kreditných kariet pripojené k platobným terminálom, bankomatom, čerpacím staniciam atď. Zameriavajú sa na hmotné karty a osobné transakcie.

• Digitálny skimming maskuje URL adresy v spamových/phishingových e-mailoch alebo na diaľku infikuje stránky a aplikácie elektronického obchodu škodlivým softvérom, ktorý skryto kradne platobné údaje online počas platby (útok Magecart).

Skimming dostal svoj názov, elektronické skimming kariet (e-skimming), podľa softvéru na krádež prihlasovacích údajov nainštalovaného v internetovom obchode predajcu. Keď nič netušiaci zákazníci použijú nákupný košík na iniciovanie platobnej transakcie na webovej stránke, hackeri bez odhalenia skopírujú informácie o debetnej alebo kreditnej karte zadané do platobných polí.  

Útok skimmingom môže viesť k úniku údajov, ktorý sabotuje finančnú bezpečnosť a odhalí identitu majiteľa účtu. Ukradnuté údaje z kariet sa potom používajú na prehľadávanie účtov s neoprávnenými a podvodnými transakciami. Páchatelia sa však tým nekončia – môžu sa tiež ľahko vydávať za iných alebo predávať e-mailové adresy, čísla sociálneho zabezpečenia a ďalšie informácie na pochybných stránkach čierneho trhu. Kybernetická bezpečnosť v bankovníctve sa stala hlavným problémom, pretože podvodníci používajú skimmery na krádež informácií o kreditných kartách vo veľkom rozsahu. FBI odhaduje, že podvody s elektronickým skimmingom stoja držiteľov kariet a banky ročne viac ako 1 miliardu dolárov. Niet divu, že sa stal obľúbeným útokom kybernetických zločincov. 

Okrem rizika poplatkov za prečerpanie, prekročenia limitu kreditných kariet a klonovaných účtov môže skimming negatívne ovplyvniť zúčastnené strany:

• Zmrazené účty

• Inštalácia škodlivého softvéru

• Zmenené alebo vymazané údaje

• Prerušenia a prestoje

• Nespočetné hodiny sporenia o obvinenia a vypĺňania papierov

• Emocionálne utrpenie z násilia

• Strata dôvery zákazníkov v dôsledku poškodenia reputácie

E-skimmery alebo online skimmery hľadajú najmä informácie o platbách pri podvodných nákupoch a krádeži. Konkrétne, na čo sa útočník zameriava:

• Údaje o kreditných kartách - čísla kariet, dátumy expirácie, kódy CVV

• Individuálne informácie – meno, e-mail, adresa, telefónne číslo, rodné číslo a ďalšie identifikačné údaje

Skimmer z bankomatu je pravdepodobne najbežnejším príkladom skimmerového zariadenia. Nečestní obchodníci tiež vymieňajú autentické prenosné POS terminály za pozmeňujúce, ktoré čítajú a ukladajú informácie o kreditných kartách. Medzi ďalšie spôsoby, akými sa skimery prefíkane maskujú, aby splynuli s okolím, patria: 

• Falošné prekrytia PIN kódov, ktoré zachytávajú PIN kódy 
• Monitory, ktoré zachytávajú a prenášajú údaje z bezkontaktných platieb, ako sú skenery QR kódov a Apple Pay

Skimeri kreditných kariet získavajú informácie prostredníctvom prepracovaného podvodu a dômyselne diskrétnych taktík zahŕňajúcich kompromitované platobné automaty. Po nainštalovaní a pripravení na prenos informácií načíta magnetický prúžok alebo čip, aby získal diskrečné údaje a kryptogram, ktorý overuje transakcie. Tu je návod, ako fungujú: 

• Inštalácia a zber údajov: Externé skimmingové zariadenia sa nenápadne pripevňujú k bankomatom v blízkosti slotu na karty alebo magnetickej čítačky, zatiaľ čo vymeniteľné prekrytia podložiek alebo dierkovej kamery zaznamenávajú PIN zákazníka. Benzínové pumpy a pokladničné systémy interne skrývajú zmanipulované čítačky kariet, ktoré extrahujú fakturačné údaje. 

• Prenos: Niekedy okamžité načítanie čísel debetných alebo kreditných kariet zahŕňa bezdrôtový prenos cez Bluetooth do úložiska alebo záložného zariadenia na inom mieste.  

Áno, skimmery kariet predstavujú vážnu hrozbu pre bankové účty a finančné prostriedky. Na vyprázdnenie celého bežného účtu stačí jedno klonovanie kreditnej karty. Ťažko zarobené peniaze môžu zmiznúť v priebehu niekoľkých sekúnd, keď oprávnený používateľ vyrazí na nákupy s falošnou kartou. Zatiaľ čo transakcie cez POS terminál a výbery z bankomatov zvyčajne prebiehajú okamžite, nepresné zdravotné záznamy a iné dokumenty sa dajú po skimmingu ľahko sfalšovať. Získanie lekárskych služieb a liekov na predpis podvodným spôsobom so sebou prináša pre vykorisťovaných vyššiu cenu v podobe dlhu za lekársku starostlivosť.

Aby ste bojovali proti rastúcej hrozbe elektronického skimmingu, prijmite tieto preventívne opatrenia proti skimmerom: 

• Využite hodnotenie rizík založené na strojovom učení od RiskRecon v komplexných obchodných ekosystémoch 

• Pravidelne aktualizujte softvér, pluginy a operačné systémy na najnovšie zabezpečené verzie 

• Obmedzte používanie čítačiek kariet vo vašej firme 

• Chráňte sa pred skimmingom zhromažďovaním iba minimálnych údajov o zákazníkoch potrebných pre transakciu. 

• Používajte certifikáty HTTPS a SSL/TLS na šifrovanie všetkých prenosov údajov počas platby a prihlásenia sa do účtu 

• Dodržiavajte štandardy zabezpečenia údajov v odvetví platobných kariet na zabezpečenie platobných informácií 

• Pred integráciou skriptov a nástrojov tretích strán do kódu stránky ich dôkladne skontrolujte. 

• Aktívne monitorujte návštevnosť stránok, zdrojový kód a servery, či nedošlo k neoprávneným zmenám  

• Zálohujte kód stránky a databázy pre prípad, že by bolo potrebné ich obnoviť z predchádzajúceho bodu zlyhania  

S rastúcou popularitou online nakupovania je proaktívny prístup k bezpečnosti a prevencii hackerských útokov kľúčový. Preto by internetoví predajcovia mali okrem vykonávania penetračného testovania nabádať návštevníkov svojich internetových obchodov, aby s cieľom minimalizovať riziko napadnutia elektronickým skimmerom robili nasledovné: 

• Vyhradzujte si iba jednu kartu na nakupovanie online 

• Aktivujte upozornenia na transakcie 

• Nastavte si silné a jedinečné heslá 

• Pripojte sa k verejným WiFi sieťam pomocou dôveryhodnej VPN 

• Zvážte virtuálne karty 

• Pravidelne kontrolujte výpisy z účtu, či neobsahujú zvláštne poplatky 

Ostražitosť a opatrnosť sú najdôležitejšími faktormi pri predchádzaní pokusu o skimming kreditnej karty, ktorý môže byť ťažké odhaliť. Najlepším spôsobom, ako identifikovať útok, je sledovať známky neoprávnenej manipulácie, poškodených častí alebo vniknutia. Vracajúce sa čítačky a nesprávne zarovnané sloty sú varovnými signálmi – podvodníci sa často snažia prekryť svoje stopy lepidlom alebo páskou, preto prejdite prstom po čítačke kariet, aby ste sa uistili, že na nej nie sú žiadne lepkavé zvyšky. Ďalšie tipy pri používaní debetných alebo kreditných kariet zahŕňajú:

• Skontrolujte prekrytie klávesnice alebo tlačidlá, ktoré sa nedajú ľahko stlačiť

• Dávajte si pozor na zvláštne, dlhé čakanie, kým sa vaša karta „spracováva“

• Uistite sa, že pokladník vám neodstráni kreditnú kartu z dohľadu.

Trendy v kybernetickej bezpečnosti ukazujú, že tlak na ochranu súkromných údajov rastie. Spoločnosť RiskRecon vyvinula vlastný algoritmus, ktorý automaticky identifikuje zraniteľnosti systému a presne vyhodnocuje riziko. Pri zvažovaní použitia nástroja zhodnoťte nasledujúce znaky hrozieb na webových stránkach spracovávajúcich platby:

• Náhle prihlásenie na stránku, ktorú ste predtým nenavštívili

• Nepríjemné vyskakovacie okná a reklamy prehliadača

• Upozornenia prehliadača o nezabezpečenej stránke

• Pravopisné a gramatické chyby na falošných obchodných stránkach

RiskRecon poskytuje nepretržité monitorovanie a transparentnosť potrebnú na efektívne riadenie kybernetických rizík tretích strán vo veľkom rozsahu. Priamou analýzou zraniteľností webových aplikácií alebo programov dodávateľov orientovaných na internet generujeme presné zistenia zoradené podľa rizika, ktoré vedú k náprave. Náš prístup založený na dátach umožňuje zákazníkom kvantifikovať hrozby, skrátiť cykly nápravných opatrení a vybudovať dôveryhodné obchodné ekosystémy. Zaregistrujte sa na bezplatnú 30-dňovú skúšobnú verziu , aby ste mohli vyhodnotiť až 50 dodávateľov a získať vlastnú správu RiskRecon.