Dawno o skimmerach nie było. Ale w tym aspekcie zawsze można liczyć na Briana Krebsa, dla którego temat kradzieży danych z kart płatniczych jest jednym z „koników”. Połowa wakacji za nami, ale bankomat to wciąż urządzenie, które w tym okresie używamy bardzo często. Przestępcy też o tym wiedzą i przyznam Wam szczerze, że zastanawiam się, czy rozwiązania, o których pisze Brian, można już znaleźć w polskich bankomatach?
Bankomat wyglądał normalnie!
Ilu z Was sprawdza bankomat przed włożeniem doń karty? Czy klawiatura nie wygląda podejrzanie, a może coś odstaje? Wiecie – szósty zmysł, „coś mi to nie pasuje”. Mam nadzieję, że przynajmniej zawsze zasłaniacie klawiaturę przy wpisywaniu PINu? Dobra, ale co jeśli na zewnątrz wszystko jest w porządku, urządzenie jest nienaruszone, nie ma żadnych kamer, a po jakimś czasie okazuje się, że z Waszego konta zniknęły pieniądze? Jakim cudem? Ano takim, że przestępcy… włożyli skimmer do slotu karty. Nie taką wielką nakładkę – cieniutki sprzęt, niewiele cieńszy od opłatka! O ile tego typu przestępcze urządzenia to nic nowego, amerykański bloger opisał skimmer, który korzystając z zasilania „gospodarza” wysyła wykradzione dane SMSem do przestępcy.
Skimmer tu, skimmer tam
Ciekaw jestem, jak bardzo podatne na tego typu ataki są urządzenia, używane w naszym kraju. Polska – co wciąż wielu dziwi – w porównaniu do USA jest znacznie nowocześniejsza w kwestii płatności/bankowości. Tam bowiem na nowe rozwiązania migruje się ze starych, a u nas po prostu zaczyna się od nowoczesności. Producenci bankomatów nie chwalą się wprowadzonymi rozwiązaniami bezpieczeństwa. Pamiętam jednak występ na konferencji Confidence specjalistów od pentestów tych urządzeń, którzy stwierdzili, że w ich karierze nie oparło im się żadne. Jeśli jednak nawet nowoczesne bankomaty wykryją „pasożyta” – nowoczesność może odwrócić się przeciwko nam. Przecież bankomat nie jest jedynym miejscem, w którym używamy kart płatniczych. A kasy samoobsługowe? A spotykane coraz częściej dystrybutory na stacjach benzynowych, w których możemy zapłacić od razu po zatankowaniu? Notabene to właśnie w tych ostatnich odkryto SMSowe skimmery. Miejsc, w których możemy płacić kartami, jest bardzo dużo i stawiam dolary przeciwko orzechom, że nie wszędzie dbają o bezpieczeństwo.
Z kartą, ale bez karty
To co teraz? Omijać każdy bankomat szerokim łukiem? Nie przesadzałbym, ale zasada ograniczonego zaufania zawsze powinna być naszym przyjacielem, gdy rzecz idzie o pieniądze. Jeśli podchodząc do maszyny rutynowo ją oglądacie, szarpiecie slotem na kartę, usiłujecie zdjąć klawiaturę – róbcie tak dalej! Dodatkowo ja, gdy tylko mogę, korzystam z BLIKa lub Android Pay. W obu sytuacjach nie występuje interakcja urządzenie-karta, w pierwszej jednorazowy kod potwierdzamy w smartfonowej aplikacji, zaś w drugiej przy transakcji dotykowej nie jest używany numer faktycznej karty płatniczej. Oczywiście oba rozwiązania dostępne są m.in. w Orange Finanse. Warto też korzystać z informacji o transakcjach na naszym koncie. Moja żona twierdzi co prawda, że to nieco „creepy” i ma wrażenie, że ją śledzę. Jeśli jednak mam dzięki temu ustrzec się przed niespodziewanymi transakcjami z mojego konta, to cel zdecydowanie uświęca środki.