Hoe creditcardschuimspellen te herkennen en te vermijden

Op het moment dat ik me ernstig zorgen begon te maken over creditcard- en pinpasschuimers, was het niet toen mijn hele bankrekening werd overgemaakt naar Turkije, of toen ik drie keer in twee maanden een creditcard moest vervangen vanwege frauduleuze kosten. Het was toen ik hoorde dat het stelen van een creditcardnummer net zo eenvoudig is als het aansluiten van een magneetstriplezer op een computer en het openen van een tekstverwerker. Elke veeg spuugt het creditcardnummer uit, zonder extra instellingen. Meer geavanceerde apparaten om uw informatie te stelen, worden door criminelen rechtstreeks op geldautomaten en creditcardlezers geïnstalleerd. Dit worden skimmers genoemd en als je voorzichtig bent, kun je voorkomen dat je het slachtoffer wordt van deze verraderlijke apparaten.

Wat zijn skimmers?

Skimmers zijn in wezen kwaadwillende kaartlezers die zijn gekoppeld aan de echte betaalterminals, zodat ze gegevens kunnen verzamelen van elke persoon die hun kaarten veegt. De dief moet vaak terug naar de gecompromitteerde machine om het bestand met alle gestolen gegevens op te halen, maar met die informatie in de hand kan hij gekloonde kaarten maken of gewoon inbreken op bankrekeningen om geld te stelen. Misschien is het engste deel dat skimmers vaak niet verhinderen dat de geldautomaat of creditcardlezer goed werkt, waardoor ze moeilijker te detecteren zijn.

Klassieke skimming-aanvallen zijn hier en blijven waarschijnlijk een probleem, ook nu banken zijn overgestapt op EMV-chipkaarten, volgens Stefan Tanase, een beveiligingsonderzoeker bij Kaspersky Lab. Zelfs als de kaarten een chip hebben, blijven de gegevens op de magnetische strook van de kaart achterwaarts compatibel met systemen die de chip niet aankunnen, vertelde hij ons. Zelfs nu, lang na de uitrol van EMV-kaarten in de VS, eisen sommige handelaars nog steeds dat klanten de magneetstrip gebruiken.

De typische ATM-skimmer is een klein apparaat dat over een bestaande kaartlezer past. Meestal plaatsen de aanvallers ook een verborgen camera ergens in de buurt om persoonlijke identificatienummers of pincodes op te nemen die worden gebruikt om toegang te krijgen tot accounts. De camera bevindt zich mogelijk in de kaartlezer, aan de bovenkant van de geldautomaat of zelfs aan het plafond. Sommige criminelen installeren een nep-PIN-pad boven het toetsenbord om de PIN-code rechtstreeks vast te leggen, zonder de noodzaak van een camera.

De bovenstaande afbeelding is een real-life skimmer in gebruik op een geldautomaat. Zie je dat rare, omvangrijke gele bit? Dat is de skimmer. Deze is gemakkelijk te herkennen omdat hij een andere kleur en materiaal heeft dan de doelmachine, maar er zijn andere veelbetekenende tekens. Onder de sleuf waar u uw kaart plaatst, zijn verhoogde pijlen ingebed in de plastic behuizing van de machine. Je kunt zien hoe de grijze pijlen heel dicht bij de gele lezerbehuizing liggen en elkaar bijna overlappen. Dat is een teken dat een skimmer boven de bestaande is geïnstalleerd, omdat de echte kaartlezer wat ruimte tussen de kaartsleuf en de pijlen zou hebben.

Van skimmers tot Shimmers

Toen de Amerikaanse banken eindelijk de rest van de wereld inhaalden en chipkaarten gingen uitgeven, was dit een grote veiligheid voor de consument. Deze chipkaarten of EMV-kaarten bieden een robuustere beveiliging dan de pijnlijk eenvoudige magstripes van oudere creditcards. Maar dieven leren snel en hadden jaren om aanvallen in Europa en Canada te perfectioneren die op chipkaarten gericht zijn.

In plaats van skimmers, die bovenop de magstripe-lezers zitten, zitten er shimmers in de kaartlezers. Dit zijn heel, heel dunne apparaten en kunnen niet van buitenaf worden gezien. Wanneer je je kaart erin schuift, leest de glinstering de gegevens van de chip op je kaart, net zoals een skimmer de gegevens op de magneetstrip van je kaart leest.

Er zijn echter een paar belangrijke verschillen. Ten eerste betekent de geïntegreerde beveiliging die bij EMV wordt geleverd dat aanvallers alleen dezelfde informatie kunnen krijgen als een skimmer. Op zijn blog legt beveiligingsonderzoeker Brian Krebs uit dat "gegevens verzameld door glitters niet kunnen worden gebruikt om een ​​chipgebaseerde kaart te fabriceren, maar het zou kunnen worden gebruikt om een ​​magneetstripkaart te klonen. Hoewel de gegevens die doorgaans worden opgeslagen op de magneetstrip van een kaart wordt gerepliceerd in de chip op chip-compatibele kaarten, de chip bevat extra beveiligingscomponenten die niet op een magneetstrip zijn gevonden."

Het echte probleem is dat glitters veel moeilijker te herkennen zijn omdat ze zich in geldautomaten of verkoopautomaten bevinden. De hieronder afgebeelde glans werd gevonden in Canada en gerapporteerd aan de RCMP. Het is weinig meer dan een geïntegreerd circuit dat op een dun plastic vel wordt afgedrukt. Als de eigenaren van het gecompromitteerde apparaat niet voorzichtig waren geweest, had dit de informatie kunnen stelen van iedereen die het had gebruikt.

ATM-fabrikanten hebben dit soort fraude niet liggen. Nieuwere geldautomaten beschikken over robuuste anti-manipulatie-apparaten, soms met radarsystemen die zijn bedoeld om objecten te detecteren die in de geldautomaat zijn geplaatst of bevestigd. Eén onderzoeker op de Black Hat-beveiligingsconferentie was echter in staat om een ​​ATM-radarapparaat aan boord te gebruiken om PIN's vast te leggen als onderdeel van een uitgebreide zwendel.

De bedreigingen zijn reëel en evolueren; daarom is het zo belangrijk om elke geldautomaat of creditcardlezer een snelle controle te geven voordat u hem gebruikt.

Controleer op sabotage

Wanneer u een geldautomaat nadert, controleert u op duidelijke tekenen van geknoei aan de bovenkant van de geldautomaat, in de buurt van de luidsprekers, de zijkant van het scherm, de kaartlezer zelf en het toetsenbord. Als iets er anders uitziet, zoals een andere kleur of materiaal, afbeeldingen die niet correct zijn uitgelijnd of iets anders dat er niet goed uitziet, gebruik die ATM dan niet. Hetzelfde geldt voor creditcardlezers bij de kassa of bij benzinestations.

Als u bij de bank bent, is het een goed idee om snel naar de geldautomaat naast die van u te kijken en ze te vergelijken. Als er duidelijke verschillen zijn, gebruik dan geen van beide en meld de verdachte geknoei met uw bank. Als bijvoorbeeld één ATM een knipperende kaartinvoer heeft om aan te geven waar u de ATM-kaart moet plaatsen en de andere ATM een gewoon lezerslot heeft, weet u dat er iets mis is. De meeste skimmers worden op de bestaande lezer gelijmd en verdoezelen de knipperende indicator.

Als het toetsenbord niet goed aanvoelt - te dik, misschien - dan is er mogelijk een overlay met PIN-codes, dus gebruik deze niet.

Wiebel alles

Zelfs als je geen visuele verschillen kunt zien, duw dan op alles, zei Tanase. Geldautomaten zijn solide gebouwd en bevatten over het algemeen geen losse onderdelen. Creditcardlezers hebben meer variatie, maar toch: trek aan uitstekende delen zoals de kaartlezer. Kijk of het toetsenbord goed is bevestigd en slechts één stuk bevat. Beweegt er iets als je erop duwt?

Skimmers lezen de magneetstrip wanneer de kaart wordt ingebracht, dus geef de kaart een beetje een wiggle als je hem erin doet, adviseerde Tanase. De lezer heeft de streep nodig om in één beweging te gaan, want als hij niet recht is, kan hij de gegevens niet correct lezen. Als de geldautomaat van het type is dat de kaart pakt en deze aan het einde van de transactie retourneert, bevindt de lezer zich aan de binnenkant. Als u de kaart wiebelt terwijl u deze in de gleuf invoert, wordt uw transactie niet verstoord, maar wordt de schuimspaan verijdeld.

Deze tactiek werkt niet op glinstering en werkt niet met een geldautomaat die uw kaart vastlegt en vasthoudt terwijl uw transactie bezig is. Er zijn echter nog steeds manieren om uzelf te beschermen wanneer u deze machines gebruikt.

Denk na over je stappen

Wanneer u de pincode van uw betaalpas invoert, neem dan aan dat er iemand kijkt. Misschien is het over je schouder of door een verborgen camera. Bedek het toetsenbord met uw hand wanneer u uw pincode invoert, zei Tanase. Dat is een goed beleid, zelfs als u niets vreemds aan de geldautomaat opmerkt. Het verkrijgen van de pincode is essentieel, omdat de criminelen de gestolen magneetstripgegevens zonder deze niet kunnen gebruiken, vertelde Tanase. Dat veronderstelt natuurlijk dat de aanvaller een camera gebruikt en geen overlay om uw pincode te verkrijgen.

Criminelen installeren vaak skimmers op geldautomaten die zich niet op te drukke locaties bevinden, omdat ze niet geobserveerd willen worden door kwaadaardige hardware te installeren of de geoogste gegevens te verzamelen. De geldautomaten in banken zijn over het algemeen veiliger vanwege alle camera's, hoewel sommige gedurfde criminelen er nog steeds in slagen om ze daar te installeren. De geldautomaat in een supermarkt of restaurant is over het algemeen veiliger dan die buiten op de stoep. Stop en overweeg de veiligheid van de geldautomaat voordat u deze gebruikt.

Dat gezegd hebbende, geen enkele plaats is veilig voor een ondernemende crimineel. Neem deze video bijvoorbeeld. De dief installeert een skimmer op het verkooppunt in een supermarkt in seconden.

De kansen om geraakt te worden door een skimmer zijn groter in het weekend dan tijdens de week, omdat het voor klanten moeilijker is om de verdachte geldautomaten aan de bank te melden. Criminelen installeren meestal skimmers op zaterdag of zondag en verwijderen ze vervolgens voordat de banken op maandag weer opengaan.

Gebruik waar mogelijk de magneetstrip van uw kaart niet om de transactie uit te voeren. Voor creditcardlezers in winkels, voel onder de pincode voor een sleuf om uw kaart te plaatsen en de EMV-chip die moet worden gelezen. Wanneer u uw EMV-chip gebruikt, wordt de kaart geautoriseerd op het apparaat en worden uw persoonlijke gegevens nooit verzonden. Dit dwingt criminelen om de innerlijke werking van EMV-compatibele lezers aan te vallen. Hoewel het kraken van EMV-lezers mogelijk is, is het veel moeilijker dan magstripe skimming.

Als de creditcardterminal NFC-transacties accepteert, overweeg dan Apple Pay, Samsung Pay of Android Pay te gebruiken. Deze services tokeniseren uw creditcardgegevens, zodat uw persoonlijke gegevens nooit worden blootgesteld. Als een crimineel de informatie op de een of andere manier onderschept, krijgt hij alleen een nutteloos virtueel creditcardnummer. Merk op dat op sommige apparaten Samsung Pay daadwerkelijk een magstripe-transactie kan emuleren als u uw telefoon boven de kaartlezer houdt. Dit is veel veiliger dan het gebruik van uw daadwerkelijke creditcard.

Een scenario waarbij u uw magneetstrip vaak moet gebruiken, is betalen voor brandstof bij een benzinepomp. Dit is de oorzaak van aanvallen, omdat velen nog geen EMV- of NFC-transcaties ondersteunen, en omdat aanvallers toegang tot de pompen kunnen krijgen zonder opgemerkt te worden. Het is veel veiliger om naar binnen te gaan en de kassier te betalen. Als er geen kassier aanwezig is, gebruik dan dezelfde tips voor het gebruik van geldautomaten en onderzoek de kaartlezer voordat u deze gebruikt.

Digitale aanvallen en oplossingen

De recente hack van British Airways introduceerde een nieuw concept: de skimmer voor digitale kaarten. In plaats van een fysiek apparaat om uw kaartinformatie vast te leggen, of een nep-phishingwebsite die u misleidt om uw gegevens in te voeren, is een digitale skimmer schadelijke software die in een legitieme website wordt geïnjecteerd.

De bestrijding van dit soort aanvallen is uiteindelijk aan de bedrijven om ervoor te zorgen dat hun sites en services veilig zijn. Maar er zijn een paar dingen die consumenten kunnen doen om zichzelf te beschermen. Een optie is om virtuele creditcards te gebruiken. Dit zijn dummy creditcardnummers die zijn gekoppeld aan uw echte creditcardaccount. Als er een is aangetast, hoeft u geen nieuwe creditcard te krijgen, genereert u gewoon een nieuw virtueel nummer. Sommige banken, zoals Citi, bieden dit als een functie, dus vraag de uwe of het beschikbaar is.

Als u geen virtuele kaart van een bank kunt krijgen, biedt Abine Blur gemaskeerde creditcards aan abonnees. Dit zijn prepaid creditcards die u meteen kunt maken en gebruiken voor online aankopen. Abine levert zelfs een nepnaam en factuuradres om te gebruiken, waardoor uw persoonlijke informatie verder wordt vermomd. Als een van deze wordt blootgesteld, verliest u geen geld of privégegevens.

Een andere optie is om u in te schrijven voor kaartmeldingen. Ally Bank stuurt bijvoorbeeld een push-melding naar uw telefoon telkens wanneer uw bankpas wordt gebruikt. Dit is handig, omdat u onmiddellijk nepaankopen kunt identificeren. Als uw bank een vergelijkbare optie levert, probeer deze dan aan te zetten.

Blijf op de hoogte

Als u een kaartafschuimer niet opmerkt en uw kaartgegevens worden gestolen, wees dan voorzichtig. Zolang u de diefstal zo snel mogelijk meldt bij uw kaartuitgever (voor creditcards) of bank (waar u uw account hebt), wordt u niet aansprakelijk gesteld voor het verloren bedrag en wordt uw geld geretourneerd. Zakelijke klanten hebben daarentegen niet dezelfde wettelijke bescherming en kunnen het moeilijker hebben om hun geld terug te krijgen.

Probeer ook waar mogelijk een creditcard te gebruiken. Een debettransactie is een onmiddellijke overdracht en vereist een FDIC-claim die weken kan duren om te worden verwerkt. Creditcardtransacties kunnen op elk moment worden stopgezet en teruggedraaid, en daarmee worden verkopers onder druk gezet om hun geldautomaten en betaalautomaten beter te beveiligen.

Tijdige rapportage is erg belangrijk in geval van fraude, dus houd uw bank- en creditcardtransacties in de gaten. Persoonlijke financiële apps zoals Mint.com kunnen helpen bij het sorteren van al uw transacties.

• Abine Blur Premium Abine Blur Premium
• Feds waarschuwt voor 'Jackpotting' ATM-hacks in de VS Feds waarschuwt voor 'Jackpotting' ATM-hacks in de VS
• Bekijk een Card Skimmer geïnstalleerd in seconden Bekijk een Card Skimmer geïnstalleerd in seconden

Let ten slotte op je telefoon. Banken en creditcardbedrijven hebben over het algemeen een zeer actief fraudeopsporingsbeleid en zullen onmiddellijk contact met u opnemen, meestal via telefoon of sms, als ze iets verdachts opmerken. Snel reageren kan betekenen dat je aanvallen moet stoppen voordat ze je kunnen beïnvloeden, dus houd je telefoon bij de hand.

Onthoud alleen: als iets niet goed voelt over een geldautomaat of een creditcardlezer, gebruik het dan gewoon niet. Gebruik indien mogelijk de chip in plaats van de strip op uw kaart. Je bankrekening zal je bedanken.