10:07
16/8/2018

Urządzenie o nazwie Skim Reaper zostało opracowane przez naukowców z Florydy. Potrafi wykrywać skimmery instalowane w czytnikach kart płatniczych lub na elementach obudowy bankomatów. Policja z Nowego Jorku dostanie egzemplarz bo pomagała badaczom, ale zapotrzebowanie jest większe.

Skimmery są coraz lepsze i wydajniejsze, a klienci mają poważny problem by je rozpoznać. Banki wcale nie ułatwiają sprawy i nigdy nie wiesz, czy podejrzany człowiek przy bankomacie właśnie założył skimmer, czy tylko użył wyciora. Można sobie z tym radzić na różne sposoby np. możesz szarpać bankomat za każdym razem gdy z niego korzystasz, ale to i tak nie gwarantuje wykrycia skimmera.

Efekt współpracy z NYPD

Rozwiązaniem może być wykrywacz skimmerów. Urządzenie tego rodzaju opracowali badacze z University of Florida – Nolen Scaife i Christian Peeters. Zostało ono zaprezentowane na USENIX Security Symposium i nosi uroczą nazwę Skim Reaper. Niestety nie jest to prototyp produktu, ale raczej efekt uboczny projektu badawczego.

Badacze przeanalizowali skimmery, które przez 16 miesięcy wpadały w ręce nowojorskiej policji (a konkretnie oddziału Financial Crimes Task Force). Dokonano usystematyzowania tych urządzeń i opracowano detektor, który wygląda tak.

Urządzenie składa się z mikrokontrolera i “karty pomiarowej”.  Ma wykrywać zwłaszcza dwa typy skimmerów – te montowane na obudowach (overlay) oraz w slotach na kartę (deep inserts).

 

Skim Reaper wykryłby te wszystkie skimmery

Co wykrywa Reaper?

Sensor Skim Reapera potrafi wykrywać skoki napięcia powstające w momencie kontaktu paska magnetycznego z głowicą czytnika. Jeśli wykryte zostaną dwie głowice lub więcej, urządzenie alarmuje użytkownika. Brzmi to bardzo prosto, ale badacze musieli sporo się nagłowić aby opracować odpowiednio czułe urządzenie. Skimmery typu “deep insert” są naprawdę niewielkimi urządzeniami i mówimy o wykrywaniu bardzo subtelnych zmian.

Testy urządzenia wykazały jego 100% skuteczność na  skimmerach zebranych przez NYPD. Dlatego nowojorska policja będzie używać Skim Reapera. Inne jednostki policji już wyraziły zainteresowanie, ale badacze już teraz mówią, że nie mają możliwości produkcyjnych odpowiadających zainteresowaniu.

Problem, który nieprędko zniknie

Samo opracowanie wykrywacza skimmerów jest interesującym podejściem do problemu kopiowania zawartości paska magnetycznego kart płatniczych. Do tej pory skupiano się raczej na analizie transakcji i próbach zgadywania, jakie zachowanie klienta jest nietypowe. Podejmowano też próby wykrywania kart sfałszowanych. Oczywiście najlepiej byłoby porzucić paski i stosować karty chipowe, ale przestępcy próbują obchodzić również ich zabezpieczenia, a poza tym łatwiej powiedzieć “przejdźmy na nowe rozwiązanie” niż nagle globalnie na nie przejść.

Szarpanie bankomatów ciągle może być skutecznym sposobem na wykrycie skimmera, ale wyposażenie policji w podobne wykrywacze wydaje się niezłym pomysłem. Nawiasem mówiąc niektóre skimmery da się wykryć przez Bluetooth i są do tego specjalne aplikacje, ale wiele skimmerów na rynku nie korzysta z tego typu łączności bezprzewodowej.

Szczegóły?

Szczegóły dotyczące konstrukcji Skim Reapera (a także ciekawe informacje o Skimmerach) znajdziecie w raporcie pt. Fear the Reaper: Characterization and Fast Detection of Card Skimmers.

Przeczytaj także:

31 komentarzy

Dodaj komentarz
  1. To się zacznie wyścig zbrojeń. A wystarczyłoby żeby transmisja pomiędzy kartą a bankomatem była szyfrowana.

    • A niby jak pasek magnetyczny ma być szyfrowany? Reszta, czyli chip jest szyfrowana i najlepsze, jak podaje artykuł, byłyby karty bez pasków, ale USA jest zacofane i się takim sprzeciwia. Amerykańscy klienci mają to gdzieś, bo tam banki nie robią żadnych problemów z reklamacjami w takich przypadkach. Europejskie bankomaty mają czytnik pasków celem kompatybilności z amerykańskimi kartami a europejskie karty mają paski celem umożliwienia korzystania z nich w amerykańskich bankomatach. De facto europejskie karty i bankomaty nie stosują pasków, chyba, że to… sklonowana karta bez chipa, to wtedy bankomat korzysta z paska…

    • @Józef
      usuń pasek magnetyczny z karty, która ma chip i taką wprowadź do bankomatu
      Myślę, że się zdziwisz

  2. No to teraz trzeba wbudować to ustrojstwo w każdą kartę debetową i kredytową. Zaalarmuje sama taki bankomat, że ma on zainstalowanego skimera. Wiem, brzmi to trochę jak sci-fi ;) Ale może jednak nie?

    • a nie lepiej zamontować na każdym bankomacie?

    • @Robert: w takim razie przestepcy dodatkowo wymieniliby działające antyskimmery na atrapy.

  3. A gdyby tak samodzielnie zniszczyć pasek magnetyczny?
    Oczywiście przy założeniu że nie planujemy używać karty w Stanach.

    • Cześć polskich bankomatów nie będzie działać

    • może zamiast niszczyć pasek magnetyczny zakryć go jakąś łatwo zdejmowalną powłoką i unikać bankomatów, które przez to odmawiają wydania gotówki? albo przesiąść się na blik albo wypłaty zbliżeniowe – coraz więcej bankomatów obsługuje te metody

    • Stany Stanami, ale nie tylko w Stanach. Może się coś zmieniło (wątpię), ale Korea Południowa jeszcze kilka lat temu również nie obsługiwałą chipów.

    • Najlepiej jakby banki uruchomiły (na życzenie) usługę odrzucania transakcji, do których użyto paska magnetycznego. Ci, którzy nie wybierają się na technologiczne zadupie (np. do USA) mogliby sobie taką usługę włączyć. Chroniłaby również przed klonami.

    • W BZWBK domyślnie pasek magnetyczny jest wyłączony. Można go włączyć na życzenie klienta w zarządzaniu kartami przez internet.

    • No sam nie wiem czy to dobre zabezpieczenie… Co z tego, że bank nie wykorzystuje paska magnetycznego, skoro dodatkowe urządzenie, którego tam nie powinno być już tak. Włączona opcja blokująca w banku, czy wyłączona nie jest w stanie wyłączyć skimmera, zgadza się?

  4. nie wyeliminujemy paskow bo uzywaja ich panstwa 3 swiata (jesli chodzi o transakcje kartowe)

    chipy maja znane podatnosci i pewnie pare nieznanych. paypass/paywave tez swietne nie sa. w obu przypadkach to jest tez dlatego ze procesor ma ograniczone zasoby i zasilanie (przy platnosciach bezprzewodowych).

    wniosek z tego taki ze skoro firmy od kart (emv i przyjaciele) nie potrafily wypracowac przez taki okres czasu rozwiazania (m.in. takiego w ktorym latwo moznaby patchowac nowo znalezione podatnosci), to moze trzeba sie przesiasc na liczne aplikacje do platnosci (blik itp). nie podoba mi sie to bo nie ma 2-factor (chyba ze autoryzcja przez sms na drugi telefon), ale w porownaniu z kartami jest duzo lepiej

  5. Wystarczy nie powierzać karty kredytowej bankomatowi, czyli wybierać gotówkę zbliżeniowo lub przez BLIK.

    • Gdyby tylko wszystkie bankomaty to obsługiwały…

    • Za granicą nie znajdziesz takich bankomatów.

  6. A czemu nie wbudować takiego rozwiązania w bankomaty? Skoro zewnętrzne urządzenie może wykrywać skoki napięcia, to przecież takie same skoki pojawią się po drugiej stronie, więc czemu bankomaty nie mogą być wyposażone w taki mechanizm self-defence.

    • Nie da się, bo tutaj to karta jest urządzeniem pomiarowym (niejako ‘wyczuwa’, ze przejechała przez 2 głowice czytające).

  7. najlepiej by było gdy w samych bankomatach były zamontowane małe czujniki zbliżeniowe, który by wykrywały, że coś zostało nałożone na czytnik i stosowna informacja by była wyświetlana na bnakomacie albo lepiej bankomat by automatycznie na ten czas blokował

  8. Bankomaty mają antyskimery, ale nie wszystkie. Na pewno w większości bankomatów są w bankach BZWBK i PKO BP. Inne banki różnie.

  9. Zastanawia mnie – może N przeprowadzi eksperyment, czy te bankomaty, które używają paska, robią jakiegoś cross-checka z zawartością chipa? Czy może jest po prostu tak, że odczyt paska jest jakimś filtrem pierwszego stopnia, służącym do sprawdzenia, czy ktoś nie włożył byle śmiecia do slotu. W takiej sytuacji wystarczyłoby, aby na karcie używanej podmienić pasek magnetyczny na jakiś pochodzący ze starej, deaktywowanej już karty.

  10. Czy dobrze rozumiem, że urządzenie działa wyłącznie w czytnikach niezmotoryzowanych?

    • “Co wykrywa Reaper?

      Sensor Skim Reapera potrafi wykrywać skoki napięcia powstające w momencie kontaktu paska magnetycznego z głowicą czytnika.”

      Tak to zostało napisane, jakby nie wiadomo jak zaawansowaną metodą wykrywano głowicę czytnika ;) A w rzeczywistości Skim Reaper na karcie-sondzie ma w odpowiednich miejscach kontakty, które są zwierane przez głowicę czytnika.

  11. Czemu nie mozna w PL ustawowo nakazax wylaczenia paskow na kartaxh? W Holandii juz od dawna w zadnym sklepie nie zaplacisz paskiem… tylko chip

    • Dobrze by było. Od wielu lat płacę kartą w Polsce i ani razu nie szczytywano paska. Nawet w USA zdarzyło mi się raptem w kilku sklepach w Kaliforni.

  12. Czy dobrze rozumiem, że jeśli karta ma zablokowany pasek magnetyczny na poziomie banku, to przy jej skopiowaniu i tak nie da się wykonać transkacji?

  13. No to teraz obowiązek instalowania takich urządzeń w każdym bankomacie… Inaczej bank nie robi wszystkiego aby zabezpieczyć swoje transakcje i jest odpowiedzialny za zaniedbanie bezpieczeństwa ;(

  14. I tutaj pokazuje potęgę BLIK, masz w nosie oszustów…

  15. Główny problem widać gołym okiem, jeżeli przyjrzymy się zdjęciu przedstawiającemu przykładowe”specimeny” skimmerów – wiekszość z nich przypomina IDIOTYCZNE “ozdobniki” slotów na kartę, które są montowane – cholera wie po co – na większości bankomatów, fabrycznie. W większości wypadków, użytkownik nie ma żadnej szansy wiedzieć, czy “to dziwne” osłaniające slot a kartę to element, który miał tam być, czy dodatkowa nakładka.

    Otwór na kartę w bankomacie powinien być ustandaryzowany, jakojedynie “goła szparka”[1] na monolicie, kropka. Pewnie, nie pomoże to z deep-insert’ami, ale i większość skimmerów na rynku to nakładki, zrobienie dobrego deep’a to i większy koszt i większa komplikacja.

    [1]Każdy ma takie skojarzenia, na jakie zasługuje ;)

    • W ramkę i na ścianę!
      (bez skojarzeń rzecz jasna)

Odpowiadasz na komentarz Zdzich

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.