W poprzednim poście omówiliśmy ataki RAM, oszustwa PIN ID, automatyczne zmiany PIN, ataki SMS i złośliwe oprogramowanie bankomatów lub złośliwe oprogramowanie. W tym poście zajmujemy się skim Point of Sale (POS).
3 rodzaje Skims POS
- Urzędnik skim; Najczęściej jest to, gdy sprzedawca sklepu bierze twoją kartę i uruchamia ją przez urządzenie, które kopiuje informacje z paska magnetycznego. Gdy złodziej ma dane karty kredytowej lub debetowej, może składać zamówienia przez telefon lub online lub utworzyć sklonowaną kartę.
- Swapy POS; bardziej zaawansowany przegląd ma miejsce, gdy przestępcy występują jako technicy POS, wchodzą do sklepu i wymieniają istniejące terminale POS klonami, które umożliwiają przestępcom zdalny dostęp do urządzenia. Złodzieje mogą całkowicie zastąpić punkt sprzedaży w punkcie handlowym urządzeniem, które jest przystosowane do nagrywania lub przekazywania danych karty bezprzewodowo, lub po prostu przechowuje dane, dopóki przestępca nie wróci i nie usunie go.
- Złośliwe oprogramowanie POS; najbardziej wyrafinowany szelek POS ma miejsce, gdy rzeczywiste oprogramowanie POS jest atakowane zdalnie i zhakowane, gdy zainstalowane jest złośliwe oprogramowanie, dając przestępcom pełną kontrolę nad urządzeniami.
PCI Security Standards Council
Standard PCI Security Standards Council zawiera wskazówki, które mają pomóc sprzedawcom w bezpiecznym przechowywaniu i przesyłaniu danych z kart oraz w zapobieganiu wpadki w ręce przestępców. Sprzedawcy, którzy nie przestrzegają standardów PCI, mogą zostać ukarani grzywną w postaci dużych pieniędzy przez dostawców kart kredytowych, takich jak Visa i MasterCard.
PCI stale aktualizuje serię zaleceń dotyczących zapobiegania oszustwom typu skimming. " Szumowanie staje się powszechnym problemem. Są to wytyczne dla detalistów, którzy powinni przyglądać się swoim urządzeniom czytającym ", mówi Bob Russo, dyrektor generalny PCI SSC. "Omawiamy różne techniki ochrony tych urządzeń w punkcie sprzedaży."
Zapisy "Zapobieganie fałszowaniu: najlepsze praktyki dla kupców" przez Radę PCI obejmują kwestionariusz oceny ryzyka i formularze samooceny, aby ocenić podatność na tego typu ataki i określić, gdzie należy wzmocnić ich mechanizmy obronne. Wytyczne obejmują, w jaki sposób kształcić i chronić pracowników, którzy zajmują się urządzeniami punktu sprzedaży, które są celem, a także sposoby zapobiegania i zapobiegania naruszaniu tych urządzeń. Określają również, w jaki sposób zidentyfikować sfałszowany czytnik i co z nim zrobić oraz w jaki sposób fizyczna lokalizacja urządzeń i sklepów może zwiększać ryzyko.
Jak się chronić
- Sprawdź bankomat: Oznacza to każdy bankomat, nawet bankomat. Możesz również sprawdzić dowolny suwak na karcie, na przykład na stacjach benzynowych itp., Szczególnie jeśli używasz karty debetowej. Jeśli skaner nie pasuje do koloru i stylu urządzenia, może to być skimmer. Powinieneś również "wstrząsnąć" skanerem kart, aby sprawdzić, czy nie ma w nim czegoś podobnego do czytnika kart w bankomacie.
- Zakryj klawiaturę przy wprowadzaniu kodu PIN: Aby uzyskać dostęp do konta bankowego, złodzieje muszą mieć numer karty i kod PIN. Zasłaniając klawiaturę, uniemożliwiasz oglądanie kodu PIN przez kamery i obserwatorów.
- Często sprawdzaj wyciągi bankowe i karty kredytowe: jeśli ktoś dostanie Twoje informacje, masz 60 dni na zgłoszenie wszelkich oszukańczych obciążeń firmie obsługującej karty kredytowe, aby nie zostać obciążonym. W przypadku karty debetowej masz tylko około 2 dni na zgłoszenie podejrzanej aktywności.
- Bądź wybredny: nie używaj ogólnych bankomatów w barach lub restauracjach. Zazwyczaj nie są one monitorowane, dlatego każdy może je łatwo przerobić.