Atak kartowych klonów

Według doniesień amerykańskich mediów skimmerzy dokonują na szeroką skalę manipulacji w urządzeniach odczytu kart płatniczych umieszczonych w automatach na stacjach benzynowych, aby w ten sposób wykradać dane o kartach.

Do tej pory takie ataki były stosowane raczej w przypadku bankomatów, w których oszuści za pomocą nakładek do tzw. skimmingu umieszczanych przed otworem do wsuwania kart pobierali dane z pasków magnetycznych, aby następnie tworzyć kopie. Kody PIN były wykradane za pomocą ukrytych kamer albo dodatkowych nakładek na klawiatury bankomatów przykrywających właściwe pola z klawiszami.

W nowo zaobserwowanych przypadkach urządzenia do skimmingu umieszczone na terminalach kolumn paliwowych za pośrednictwem łączy Bluetooth wysyłały dane do przestępców, którzy znajdowali się w pobliżu. Ci z użyciem podrobionych kart mogli następnie pobierać gotówkę z automatów. Nieznani sprawcy na razie zmanipulowali około 18. automatów paliwowych z funkcją płatności. Ich działalność udało się wykryć dlatego, że zaobserwowano, iż wielu klientów, którzy stali się ofiarami takiego ataku, korzystało z pewnego określonego automatu w sieci 7-Eleven.

Także w Polsce i u naszych zachodnich sąsiadów coraz częściej spotyka się stacje benzynowe, na których można uregulować należność bezpośrednio przy dystrybutorze. W tym celu jednak trzeba włożyć kartę jeszcze przed tankowaniem i wprowadzić kod PIN, tak aby automat Outdoor Payment Terminal (OPT) mógł sprawdzić stan środków na koncie. Na razie jednak media nie donosiły o atakach skimmingowych na naszych stacjach benzynowych.

Podobnie do stosowanych obecnie terminali do kart w sklepach, także i na stacjach benzynowych są systemy obsługujące metody EMV, w których chip na karcie komunikuje się z terminalem w sposób mniej lub bardziej zaszyfrowany, utrudniając w ten sposób ataki. Niestety, zarówno karty EC, jak i karty kredytowe ze względu na konieczność zachowania kompatybilności wciąż są wyposażane w pasek magnetyczny; przestępcy mogą skanować paski i uzyskiwać w ten sposób wgląd do danych, na których im zależy.

Tak czy owak dla klienta nie ma znaczenia, czy przy płatności używane są metody EMV bądź też wykorzystuje się pasek magnetyczny – zwykle i tak dostaje on rekompensatę poniesionych strat. Ta różnica ma znaczenie jedynie z punktu widzenia ustalania odpowiedzialności w razie wystąpienia szkód. Jeśli karta nie była zdolna do obsługi technik EMV, odpowiedzialność ponosi wystawca, a więc zwykle bank. Jeśli zaś to terminal nie był zdolny do obsługi EMV, odpowiedzialność spada na handlowca. Niedawno jednak brytyjscy naukowcy wykazali, że także zabezpieczenia metody EMV da się obejść.