La mayoría de las personas en Occidente, e incluso en nuestro país, utilizan cada vez más las tarjetas bancarias de plástico a la hora de realizar pagos. Con el crecimiento en la cantidad de tarjetas y, por lo tanto, la cantidad de cajeros automáticos, la cantidad de estafadores está creciendo. Gopota ya no está parada a la vuelta de la esquina con un tubo de hierro, está parada a unos metros de distancia con una computadora portátil o una tableta. Además, los métodos se mejoran constantemente. Considere los más comunes.
rozando
Los cajeros automáticos colocan un dispositivo especial que puede copiar todos los datos de la cinta magnética. Además, un estafador puede instalar una superposición de teclado o colocar una cámara de video para corregir el código. Del inglés skimming se traduce como recoger crema. Esta especie es más popular no solo en Rusia, sino también en los países de la CEI. El hecho es que no solo la gopota de cajero automático puede participar en el desnatado, los cajeros de los supermercados también pueden usarlo. Por lo tanto, cuando pague en una tienda, siga siempre las acciones del cajero.
Para no caer en las trampas de los estafadores, nunca entregue la tarjeta a personas no autorizadas. Asegúrese de que no haya "innovaciones" en el diseño de los cajeros automáticos, nuevas cámaras de video, etc. Muchos bancos colocan anti-skimmers en sus cajeros automáticos.
Suplantación de identidad
Este tipo de fraude no está directamente relacionado con las tarjetas. El énfasis está en la credibilidad de los ciudadanos. Se llama o se escribe a un cliente del banco Email y pidió confirmar cierta información. Principalmente escriben sobre el cliente confirmando sus datos con respecto a la tarjeta, ya que en ella se registraron transacciones dudosas en el banco. Un cliente crédulo (digámoslo así) recibe un enlace supuestamente del banco, el cual debe seguir, pero… necesita ingresar un nombre de usuario y contraseña. Eso es todo lo que necesita el estafador.
Para no caer en el anzuelo, verifique cuidadosamente el nombre de dominio. No comparta sus datos personales bajo ninguna circunstancia. Si ya está interesado en el mensaje, comuníquese directamente con el banco, por los números de contacto. Las versiones modernas de los navegadores bloquean los sitios de virus, sin embargo, actualizan el software periódicamente.
Agricultura
Este tipo de estafa es más peligrosa que el phishing. Los estafadores obtienen información sobre los datos personales de los clientes a través de sitios web completamente legales. En los servidores DNS, un estafador reemplaza las direcciones de los sitios web. Un usuario inexperto prácticamente no detectará una sustitución. Además, después de hacer clic en un enlace falso, puede recibir malware o spyware. Este tipo de estafa es bastante costosa, por lo que las grandes empresas recurren a ella.
Debe recordarse una verdad indiscutible: un gran banco o institución financiera, antes de realizar cualquier acción, las anuncia públicamente, incluidos los medios de comunicación. ¡El banco nunca te exigirá que envíes tus datos personales! Instalar en su dirección de correo electrónico filtros de correo no deseado El spam debe eliminarse sin leer ni hacer clic en ningún enlace.
Trapping o "bucle libanés"
El "bucle libanés" no caza a los clientes crédulos de determinadas entidades financieras, sino a sus tarjetas. Los estafadores insertan una especie de bolsillo en el lector de tarjetas, lo que evita que la tarjeta se salga después de ingresar el código PIN. Y aquí hay dos opciones. En el primer caso, el estafador se le acercará y le ofrecerá marcar el código varias veces. También es posible otra opción. Después de que la tarjeta se atasca, su propietario comienza a llamar al banco y se olvida de la tarjeta, que toma el estafador. Para protección contra este tipo los estafadores utilizan receptores especiales que no permiten retirar la tarjeta antes de la llegada de los cobradores.
Si la tarjeta está atascada, intente sacarla usted mismo, mientras aleja a los simpatizantes de usted. Si la tarjeta está atascada, quédese cerca del cajero automático y llame al banco para solicitar que bloqueen la tarjeta. La posibilidad de que.
- Solo el titular debe conocer el código PIN de la tarjeta,
- si pierde la tarjeta, llame inmediatamente al banco,
- al retirar dinero, asegúrese de que nadie esté observando sus acciones.
El surgimiento y la expansión continua del espacio virtual ha brindado a las personas muchas oportunidades. Sin embargo, no sólo para la comunicación, el aprendizaje y las ganancias. Los delincuentes y estafadores también han encontrado su nicho y, lamentablemente, lo están dominando con bastante éxito. ¿Qué delitos cibernéticos son los más comunes y qué términos se utilizan para describirlos? Sigue leyendo para saber más.
Desnatado (calzaming)
Copia ilegal del contenido de chips de tarjetas bancarias. La palabra "skimming" en sí misma proviene de un nombre similar para un dispositivo electrónico especial que los ladrones conectan a un lector de tarjetas en un cajero automático. El dispositivo lee la información de la tarjeta de pago, por lo que los atacantes obtienen su código PIN y pueden retirar dinero de la tarjeta.
La mejor manera de protegerse es utilizar los cajeros automáticos que se encuentran directamente en el banco.
Captura de caché
Robo de efectivo de un cajero automático mediante la instalación de una superposición especial. Puedes entender que estás ante este tipo de fraude si al sacar dinero de un cajero ves en pantalla que los fondos han sido emitidos, recibes el SMS correspondiente, pero los billetes en sí “no salen”.
¿Qué hacer? En ningún caso abandone el cajero automático, llame inmediatamente al banco e informe del problema, indicando la dirección del cajero automático, y llame a la policía.
Cardadura
Transacciones financieras ilegales utilizando una tarjeta de pago o sus datos, no iniciadas o confirmadas por su titular. Los detalles de la tarjeta de pago generalmente se toman de servidores pirateados de tiendas en línea, sistemas de pago y liquidación, así como de computadoras personales.
Por lo tanto, por más conveniente que sea pagar con tarjeta, y no en efectivo, esto solo se puede hacer en lugares confiables.
Suplantación de identidad
Defraudar a los usuarios de Internet de sus logins y contraseñas para realizar una determinada operación. La forma más común es crear un sitio en el que el usuario confíe, por ejemplo, un sitio que parezca un sitio bancario, a través del cual se roban los datos de la tarjeta de pago.
Reglas básicas de seguridad: no siga los enlaces (incluso si son en nombre del banco); no pague a través de una computadora, por ejemplo, un club de Internet; al realizar un pago, nunca ingrese datos personales (el número de tarjeta, la fecha de vencimiento y el código CVV2 son suficientes; establezca un límite en las transacciones financieras en la red (se puede cambiar).
estafa en línea
Toma de posesión de los fondos de los ciudadanos a través de subastas en línea, sitios web y otros medios de comunicación. Estas son las famosas "cartas de felicidad" (por ejemplo, sobre una herencia que heredaste de un pariente lejano. Pero para recibirla, debes abrir una cuenta bancaria y pagar su mantenimiento), y "amigos en problemas ” (una persona que conoces y dice que le pasó algo, necesita ayuda urgente, etc.). Además, los estafadores han elegido sitios de citas donde, en nombre de chicas guapas, se familiarizan con hombres y piden dinero para el viaje para tener una cita.
Descuentos increíbles, bienes o servicios gratuitos, etc. deberían alertarlo.
Piratería
Distribución ilegal de productos. propiedad intelectual En Internet. Este método, seamos honestos, lo usamos la mayoría de nosotros. Los autores, los creadores sufren, perdiendo una parte importante de sus ingresos.
La lucha contra la piratería es tarea de la policía cibernética, así como de los vendedores de determinados productos.
compartir cartas
Proporcionar acceso ilegal para ver televisión por satélite y por cable.
Malvaré
Creación y distribución de virus y software malicioso.
El consejo sigue siendo el mismo: use antivirus, evite hacer clic en enlaces desconocidos y no visite sitios con contenido cuestionable.
acoso cibernético
Una forma de acoso electrónico que generalmente implica amenazas físicas manifiestas o percibidas que crean una sensación de peligro para la víctima. Cualquier internauta puede convertirse en víctima. Después de todo, todos nos comunicamos en línea, visitamos foros, nos registramos en redes sociales, etc.
Esta ofensa criminal y es castigado. Así que contacta a la policía inmediatamente.
Relativamente nuevo es el uso de mensajes IRC e IM. Sin embargo, es probable que este método se convierta en una base popular para los ataques de phishing. A medida que estos canales de comunicación se vuelven cada vez más populares entre los usuarios domésticos y, al mismo tiempo, se incluye una gran cantidad de funcionalidades en este software, la cantidad de ataques de phishing que utilizan estas tecnologías aumentará drásticamente.
Sin embargo, debe entenderse que muchos clientes de IRC e IM permiten la inyección de contenido dinámico (por ejemplo, gráficos, URL, multimedia, etc.) para ser enviado por los miembros del canal, lo que significa que la implementación de técnicas de phishing es una tarea bastante trivial. .
El uso generalizado de bots en muchos de los canales populares significa que es muy fácil para un phisher enviar enlaces de forma anónima y falsificar información destinada a posibles víctimas.
Uso de troyanos
Si bien el medio de transmisión de los ataques de phishing puede variar, se descubre cada vez más que la fuente del ataque es una PC doméstica previamente comprometida. Al mismo tiempo, como parte del proceso de compromiso, se utiliza la instalación de software troyano, que permitirá al phisher (junto con los spammers, piratas de software, bots DDoS, etc.) utilizar la PC como distribuidor de mensajes maliciosos. En consecuencia, al rastrear un ataque de phishing, es extremadamente difícil encontrar al atacante real.
Es necesario prestar atención al hecho de que, a pesar de los esfuerzos de las empresas antivirus, el número de infecciones troyanas crece constantemente. Muchos grupos criminales han desarrollado métodos exitosos para engañar a los usuarios domésticos para que instalen software en ellos y ahora están utilizando grandes redes implementadas con troyanos (las redes de miles de hosts no son infrecuentes en la actualidad). Estas redes se utilizan, entre otras cosas, para enviar correos electrónicos de phishing.
Sin embargo, no crea que los phishers no son capaces de utilizar troyanos contra clientes específicos para recopilar información confidencial. De hecho, para recopilar información confidencial de varios miles de clientes a la vez, los phishers deben recopilar información registrada de forma selectiva.
Troyanos para la recogida selectiva de información
A principios de 2004, los phishers crearon un keylogger especializado. Incrustado dentro de un mensaje HTML estándar (tanto en formato de correo electrónico como en varios sitios populares comprometidos) había un código que intentaba ejecutar un subprograma Java llamado "javautil.zip". A pesar de su extensión zip, en realidad era un archivo ejecutable que podía ejecutarse automáticamente en los navegadores de los clientes.
El registrador de teclas troyano fue diseñado para capturar todas las pulsaciones de teclas dentro de ventanas con títulos de varios nombres, incluidos: -commbank, Commonwealth, NetBank, Citibank, Bank of America, e-gold, e-bullion, e-Bullion, evocash, EVOCash, EVOcash, intgold, INTGold, paypal, PayPal, bankwest, Bank West, BankWest, Banca Nacional por Internet, cibc, CIBC, scotiabank y ScotiaBank.
Direcciones de los ataques de phishing
Los phishers deben usar una variedad de métodos fraudulentos para llevar a cabo ataques exitosos. Los más comunes incluyen:
Ataques "man in the middle" (Ataques Man-in-the-middle);
ataques de suplantación de URL;
Ataques usando Cross-site Scripting;
Sesiones de ataque preestablecidas;
Sustitución de datos de clientes;
explotación de una vulnerabilidad en el lado del cliente;
Ataques de intermediario
Una de las formas más exitosas de obtener el control de la información y los recursos del cliente es a través de ataques de intermediarios. En esta clase de ataques, el atacante se sitúa entre el cliente y la aplicación real, a la que se accede a través de la red. Desde este punto, el atacante puede observar y registrar todos los eventos.
Esta forma de ataque tiene éxito para los protocolos HTTP y HTTPS. El cliente se conecta al servidor del atacante como si fuera un sitio real, mientras que el servidor del atacante realiza una conexión simultánea al sitio real. El servidor del atacante entonces actúa como un proxy para todas las comunicaciones entre el cliente y un servidor de aplicaciones accesible por red en tiempo real.
En el caso de una conexión HTTPS segura, se establece una conexión SSL entre el cliente y el proxy del atacante (por lo tanto, el sistema del atacante puede registrar todo el tráfico en un estado no cifrado), mientras que el proxy del atacante crea su propia conexión SSL entre él y el servidor real. servidor.
Figura - Estructura de un ataque man-in-the-middle
Para llevar a cabo ataques man-in-the-middle exitosos, el atacante debe estar conectado directamente al cliente en lugar del servidor real. Esto se puede hacer usando una variedad de métodos:
Envenenamiento de caché de DNS
Ofuscación de URL
Configuración del proxy del navegador
Servidores proxy transparentes
Ubicado en el mismo segmento de red o ubicado en la ruta a un servidor real (por ejemplo, una puerta de enlace corporativa), un servicio de proxy transparente puede interrumpir todos los datos al pasar todo el HTTP y HTTPS salientes a través de sí mismo. En este caso, no se requieren cambios de configuración del lado del cliente.
Envenenamiento de caché de DNS ( envenenamiento cache DNS)
Envenenamiento de caché de DNS se puede utilizar para interrumpir el enrutamiento normal del tráfico mediante la introducción de direcciones IP falsas para los nombres de dominio clave. Por ejemplo, un atacante modifica la memoria caché del sistema de nombres de dominio del cortafuegos para que todo el tráfico destinado a la dirección IP de MyBank ahora vaya a la dirección IP del proxy de los atacantes.
Ofuscación de URL
Usando este método, el atacante cambia la conexión del servidor real a una conexión a su servidor proxy. Por ejemplo, un cliente puede seguir un enlace a<http://www.mibanco.com.ch/> en lugar de
Configuración de proxy en el navegador del cliente
El cliente puede notar fácilmente este tipo de ataque al ver la configuración del navegador. En muchos casos, el cambio de configuración del navegador se realizará justo antes del mensaje de phishing.
Figura - Configuración del navegador
Abordar los ataques de suplantación de identidad
El secreto detrás de muchos ataques de phishing es hacer que el destinatario del mensaje siga un enlace (URL) al servidor del atacante sin darse cuenta de que ha sido engañado. Desafortunadamente, los phishers tienen acceso a un arsenal cada vez mayor de métodos para confundir al cliente final.
Los métodos de suplantación de direcciones más comunes incluyen:
Malos nombres de dominio
URL de inicio de sesión amigables
Ofuscación del nombre de host
Ofuscación de URL
Malos nombres de dominio
Uno de los métodos de suplantación de identidad más triviales es el uso de nombres de dominio incorrectos. Considere una institución financiera MyBank con un dominio registrado mibanco.com y sitio web comercial relacionado
http://bancaprivada.mybank.com.ch
http://mibanco.bancaprivada.com http://bancaprivada.mybonk.com o incluso http://bancaprivada.mibanco.comHIPERVÍNCULO "http://privatebanking.mybank.hackproof.com/"http://bancaprivada.mibanco.hackproof.com
Es importante tener en cuenta que, a medida que los registradores de dominios avanzan en la dirección de internacionalizar sus servicios, es posible que los nombres de dominio se registren en otros idiomas y determinados conjuntos de caracteres. Por ejemplo, "o" en caracteres cirílicos parece idéntico a la "o" ASCII estándar, pero el nombre de dominio será diferente.
Finalmente, vale la pena señalar que incluso el conjunto de caracteres ASCII estándar permite ambigüedades como mayúsculas "i" y minúsculas "L".
URL de inicio de sesión amigables
Muchos navegadores web permiten una URL compleja que puede incluir información de autenticación, como un nombre de inicio de sesión y una contraseña. El formato general es URL:// nombre de usuario: [correo electrónico protegido]/sendero.
Los phishers pueden reemplazar el campo de nombre de usuario y contraseña. Por ejemplo, los siguientes conjuntos de URL nombre de usuario = mibanco.com,contraseña = banca electrónica y el nombre de host de destino: evilsite.com.
Esta URL de inicio de sesión amigable puede engañar con éxito a muchos clientes haciéndoles creer que en realidad están visitando una página legítima de MyBank. debido al éxito este método, muchas versiones actuales de navegadores han eliminado la compatibilidad con este método de codificación de URL.
Suplantación de nombre de host
La mayoría de los usuarios de Internet están familiarizados con la navegación por sitios web y servicios utilizando un nombre de dominio completo, como www.evilsite.com<http://www.evilsite.com>. Para que un navegador web se comunique con un host determinado en Internet, esta dirección debe convertirse en una dirección IP, como 209.134.161.35 para www.sitioevil.com <http://www.evilsite.com>. Esta traducción de una dirección IP a un nombre de host se logra utilizando servidores de nombres de dominio. Un phisher puede usar una dirección IP como parte de una URL para ofuscar el host y posiblemente eludir los sistemas de filtrado de contenido, o para ocultar el destino al usuario final.
Por ejemplo, la siguiente URL:
podría confundirse con el siguiente escenario:
Si bien algunos clientes están familiarizados con la representación decimal clásica de las direcciones IP (000.000.000.000), la mayoría no está familiarizada con otras representaciones posibles. Al usar estas representaciones de IP dentro de la URL, es posible llevar al usuario a un sitio de phishing.
Dependiendo de la aplicación que interprete la dirección IP, es posible usar una variedad de formas de codificar direcciones además del clásico formato decimal con puntos. Los formatos alternativos incluyen:
Dword- el significado de una palabra doble, porque consiste esencialmente en dos "palabras" dobles de 16 bits; pero expresado en formato decimal,
octales
hexadecimal.
Estos formatos alternativos se explican mejor con un ejemplo. Considerar URL<http://www.evilsite.com/>, convirtiendo a la dirección IP 210.134.161.35. Esto se puede interpretar como:
decimal-
Dword- http:// 3532038435/
octales -
Hexadecimal -
En algunos casos, incluso es posible mezclar formatos (por ejemplo
suplantación de URL
Para garantizar la compatibilidad con los idiomas locales en software Internet, como los navegadores web, la mayoría del software admite sistemas de codificación de datos adicionales.
Ataques de secuencias de comandos entre sitios
Los formatos CSS típicos para inyección de URL válida incluyen:
Reemplazo completo de tipo HTML:
Inyección de script en línea, como: http://mybank.com/ebanking?
Página=1*cliente=<
GUIÓN
>código malvado
Por ejemplo, un cliente recibió la siguiente URL a través de un correo electrónico de phishing:
Si bien el cliente está realmente dirigido y conectado a la aplicación de red real de MyBank, debido a la codificación errónea de la aplicación por parte del banco, banca electrónica el componente aceptará una URL arbitraria para insertar dentro del campo URL página devuelta. En lugar de que una aplicación proporcione un formulario de autenticación de MyBank incrustado en la página, el atacante redirige al cliente a una página que se ejecuta en un servidor externo (
Métodos para contrarrestar los ataques de phishing
¿Cómo puede un usuario normal resistir un ataque de phishing? De hecho, vale la pena considerar algunas reglas:
Nunca responda a correos electrónicos que le soliciten su información confidencial.
Visite el sitio web del banco ingresando su URL a través de la barra de direcciones del navegador
Verifique regularmente el estado de sus cuentas en línea
Comprueba el nivel de protección del sitio que visitas
Tenga cuidado al manejar correos electrónicos y datos confidenciales
Proteja su computadora
Reporta siempre cualquier actividad sospechosa que encuentres
Echemos un vistazo más de cerca a estas reglas.
Nunca responda a correos electrónicos que le soliciten su información confidencial.
Por regla general, los bancos y las empresas financieras involucradas en el comercio electrónico envían mensajes personalizados a los clientes, ¡pero los phishers no! Los phishers a menudo usan líneas de asunto de correo electrónico que suenan llamativas como “¡Urgente! ¡Sus datos pueden ser robados!” obligar al usuario a seguir inmediatamente el enlace.
Vale la pena recordar que las empresas que se respetan nunca solicitan a los clientes contraseñas o datos de cuenta por correo electrónico. Incluso si le pareció que la carta era legítima, no debe contestarla, es mejor venir a la oficina de la empresa o, en su caso, último recurso llámalos por teléfono.
Vale la pena recordar tener cuidado al abrir archivos adjuntos de correo electrónico o descargar desde enlaces a través de Internet, ¡sin importar quién sea el remitente de estos correos electrónicos!
Visitar el sitio web de un banco o empresa
Para visitar el sitio web del banco, escriba su URL en la barra de direcciones de su navegador.
Los phishers suelen utilizar las denominadas direcciones "similares". Sin embargo, si sigue un enlace "parecido", es posible que lo lleven a un sitio de phishing en lugar del sitio real del banco.
Esto no le dará una garantía completa de seguridad, pero puede protegerlo de al menos algunos tipos de ataques de phishing.
Consulta periódicamente el estado de tus cuentas.
Si se detecta una transacción sospechosa, comuníquese con su banco de inmediato.
Uno de los medios más sencillos para comprobar el estado de una cuenta es la denominada banca por SMS.
Un método igualmente común hoy en día está asociado con las operaciones de limitación. En este caso, basta con que el cliente fije el importe de la máxima retirada de efectivo o pago posible en el punto de venta, y el banco no le permitirá a él ni al defraudador sobrepasar los límites establecidos.
Compruebe el nivel de protección del sitio que está visitando.
Antes de ingresar información confidencial en una página del sitio web de su banco, es una buena idea hacer un par de comprobaciones para asegurarse de que el banco utilice métodos criptográficos.
Tenga cuidado al manejar correos electrónicos y datos confidenciales
La mayoría de los bancos tienen una página de seguridad en sus sitios web que brinda información sobre cómo realizar transacciones de manera segura, así como consejos generales para proteger los datos confidenciales: nunca revele sus PIN o contraseñas a nadie, no los anote y no use la misma contraseña para todas sus cuentas en línea.
No abra ni responda correos electrónicos no deseados porque al hacerlo le da al remitente información valiosa de que tiene una dirección de correo electrónico válida.
Use el sentido común cuando lea correos electrónicos. Si algo de la carta te parece inverosímil o es tan bueno que no te lo crees, lo más probable es que así sea.
¡Protege tu computadora!
Vale la pena recordar que la protección más eficaz contra los troyanos es el software antivirus. Recientemente, algunas empresas antivirus han comenzado a integrar los llamados filtros antiphishing en sus productos. En particular, se integra un filtro antiphishing en el software de Kaspersky Lab, Symantec, etc.
Además, las versiones modernas de los navegadores tienen sus propias versiones de filtros antiphishing.
rozando
rozando(del inglés skim - retirar) - un tipo de fraude relativamente nuevo que utiliza cajeros automáticos. Usando un dispositivo electrónico (skimmer) instalado en los cajeros automáticos para leer la información de las tarjetas de crédito que pasan por estos cajeros automáticos, así como un teclado superpuesto o una mini cámara, el estafador obtiene acceso a la cuenta de la tarjeta de la víctima y puede retirar cualquier cantidad de ella.
La Asociación de la Industria de Cajeros Automáticos creó la Alianza Global de Seguridad de Cajeros Automáticos para proteger a los clientes bancarios y, por lo tanto, a la industria de cajeros automáticos contra el crimen y el fraude. Esta unión incluye Canadá, EE. UU., Europa, África, Asia, Australia. Rusia no está en la lista de participantes. Aunque solo nuestros compatriotas, quizás, sean los skimmers más activos. Una de las estafas más notorias la cometieron dos hermanos rusos que usaron dispositivos de skimming en cajeros automáticos de California, Florida y Nueva York a finales de 2001 y principios de 2002. Atrapado ruso y en Canadá. En ese momento, un inmigrante ilegal de Rusia había logrado robar 1,2 millones de dólares estadounidenses de las cuentas de otras personas.
Como sucedió esto
Con la ayuda de un dispositivo especial, la información contenida en él se lee de la banda magnética de una tarjeta bancaria. Por regla general, se adjunta a la ranura que acepta una tarjeta en un cajero automático. Al mismo tiempo, se graba un código PIN usando una mini cámara o una superposición especial en el teclado. A menudo, estos dispositivos están equipados con transmisores portátiles autónomos capaces de transmitir datos robados a una distancia de hasta 200 metros. Dichos dispositivos se denominan "skimmers".
En el futuro, los estafadores graban (aplican) los datos registrados de la banda magnética en sus piezas de plástico. En la mayoría de los casos, esto lo hacen grupos de estafadores profesionales que transfieren los datos de su tarjeta al extranjero, donde sus cómplices hacen un duplicado de la tarjeta y retiran su dinero, y solo pasa media hora desde el momento en que se lee la información de su tarjeta hasta el momento en que los estafadores retiran el dinero. Es casi imposible devolver dinero después de tal método de fraude.
Los atacantes recurren a varios trucos para disfrazar a los lectores conectados al cajero automático. El diseño del equipo de desnatado se selecciona de tal manera que la víctima no tenga la idea de la presencia de superposiciones.
Así es como se ven las almohadillas de los cajeros automáticos:
A veces, los atacantes instalan una cámara de video en miniatura en el propio cajero automático o en sus inmediaciones para registrar qué código PIN está marcando la víctima.
Ejemplo de instalación de cámara de video:
Los casos de uso de dispositivos de skimming en puntos de venta por parte de vendedores y meseros deshonestos se han vuelto más frecuentes. La víctima entrega la tarjeta para el pago, el vendedor usa un dispositivo en miniatura para leer los datos de la banda magnética y, con la ayuda de la superposición en el teclado del terminal POS, el código PIN de la tarjeta. La mayoría de las veces, estos vendedores se encuentran en lugares de congestión masiva de turistas. La ilustración muestra uno de los tipos de dispositivo de desnatado en miniatura:
Protección contra el desnatado
Para minimizar las posibilidades de convertirse en víctima de delincuentes de alta tecnología, debe tener más cuidado con su tarjeta bancaria y los lugares donde paga con ella y tratar de seguir los siguientes consejos:
Procura utilizar el cajero dentro de sucursales bancarias, locales bien visibles, etc. Los estafadores rara vez colocan sus dispositivos en cajeros automáticos, que pueden estar bajo vigilancia, a menudo visitados por servicios bancarios o de cobro de efectivo. ¿De qué sirve instalar un equipo costoso si se puede quitar el mismo día?
Intenta retirar dinero de los mismos cajeros automáticos y recuerda bien su apariencia. Como regla general, cualquier cambio en los cajeros automáticos no lo afecta de ninguna manera. apariencia. Si observa un "nuevo detalle" en un cajero automático, no lo use.
Siéntase libre de tratar de arrancar todas las partes sospechosas alrededor de la ranura de la tarjeta del cajero automático, toque el teclado. Si algún elemento se cae o no está muy bien sujeto, en ningún caso no utilice el cajero automático. Recuerda que esta es la forma más segura de evitar el desnatado.
Ningún banco colgará nunca en su cajero una notificación de que se han modificado las instrucciones de uso que se muestran en pantalla.
No utilice dispositivos que requieran un código PIN para ingresar a las instalaciones donde se encuentra el cajero automático.
Adquiera el hábito de mirar cuidadosamente la ranura de la tarjeta. Si le parece que hay elementos que sobresalen en la región de esta ranura, o si el marco de la ranura sobresale notablemente, puede intentar sacudirlo suavemente con los dedos. Si es una almohadilla, se desprenderá o se tambaleará.
Nunca fuerce una tarjeta en la ranura. Si siente que el cajero automático no está funcionando como de costumbre, presione la tecla cancelar y recoja su tarjeta bancaria.
No escuches consejos terceros, y tampoco acepte su ayuda al realizar transacciones con una tarjeta bancaria en cajeros automáticos.
Si al realizar transacciones con una tarjeta bancaria en un cajero automático, el cajero automático no devuelve una tarjeta bancaria, debe llamar organización de crédito por teléfono indicado en el cajero automático, y explicar las circunstancias del incidente, y también debe comunicarse con la entidad de crédito - el emisor de la tarjeta bancaria (la entidad de crédito que emitió la tarjeta bancaria) que no fue devuelta por el cajero automático, y luego seguir las instrucciones del empleado de la entidad de crédito.
Mire cuidadosamente el "visor" del cajero automático.
No comparta su PIN con nadie, incluso si la persona parece ser un empleado de su banco.
Al ingresar el código PIN, asegúrese de que la persona detrás de usted no pueda ver el código por encima de su hombro. Lo mejor es usar un cajero automático que tenga un espejo convexo para retirar dinero. Entonces puedes ver lo que está sucediendo a tus espaldas.
Asegúrese de cobrar los cheques y mantener registros de las transacciones, puede comparar los cheques de los cajeros automáticos con un estado de cuenta mensual. Revisa periódicamente los estados de cuenta de tu tarjeta. Los estafadores no siempre retiran el dinero inmediatamente.
Puede solicitar al banco que establezca un límite de gasto diario o mensual en su tarjeta.
Conecte el servicio "SMS-informando sobre transacciones usando una tarjeta bancaria". Con este servicio, puede monitorear el estado de su cuenta de tarjeta bancaria y notar cargos extraños a tiempo.
No utilice tarjetas bancarias en organizaciones comerciales y de servicios que no sean creíbles.
Exija que las transacciones con tarjeta bancaria se realicen solo en su presencia. Esto es necesario para reducir el riesgo de que su información personal indicado en la tarjeta bancaria.
Si se produjera una transacción "fallida" al intentar pagar con una tarjeta bancaria, deberá conservar una copia del cheque emitido por el terminal para la posterior verificación de la ausencia de esta transacción en el extracto de la cuenta bancaria.
Si observa transacciones no autorizadas utilizando su tarjeta o sus datos, debe realizar las siguientes acciones:
Avisar inmediatamente al Servicio de Atención al Cliente de los tarjetahabientes del Banco mediante teléfonos las 24 horas y bloquear la tarjeta.
Presentar una declaración al Banco sobre el hecho de uso indebido de su tarjeta.
Envíe una solicitud al banco para transacciones en disputa.
Presentar una solicitud al Banco para la reemisión de una tarjeta con un nuevo número y un nuevo código PIN.
Por alguna razón, Rusia no participa en organizaciones internacionales y no tiene sus propias asociaciones de protección de cajeros automáticos, por lo que cada banco protege sus cajeros automáticos por su cuenta.
Empresas Diebold y LANIT: seguridad multinivel de la red de cajeros automáticos
Diebold, uno de los principales fabricantes de equipos bancarios, y su socio LANIT, han desarrollado soluciones que garantizan la seguridad de la operación de los cajeros automáticos en todos los niveles, desde la instalación de sistemas de monitoreo, protección de los canales de comunicación, hasta la colocación de cámaras en las ranuras de retiro y depósito de efectivo, así como dispositivos que evitan los intentos de robo y captura.
A SALVO. (Mejoras seguras contra el fraude). Este es un conjunto de soluciones técnicas innovadoras que Diebold ha desarrollado para proteger contra el skimming y el atrapamiento. Los cajeros automáticos están equipados con un detector especial que reconoce la presencia de un dispositivo extraño. Cuando se detecta un skimmer, el sistema envía una alarma al servicio de seguridad del banco, centro de vigilancia o comisaría. A su vez, el lector de tarjetas ATM está equipado con un mecanismo con velocidad de dibujo variable, que permite cambiar la velocidad de su movimiento durante el proceso de recepción de una tarjeta. Este efecto hace que sea imposible leer con precisión los datos de la banda magnética de la tarjeta con la ayuda de skimmers, que ahora son muy utilizados por los delincuentes.
En turno LANIT para combatir el skimming, propone instalar almohadillas especiales antiskimming en los cajeros automáticos que brindan “seguridad pasiva” (obstrucción de la instalación), así como un nuevo producto de TMD Security que brinda “seguridad activa”. TMD Security le permite bloquear las señales de un dispositivo de skimming, evitando intentos no autorizados de transferir datos personales de los titulares de tarjetas.
Nivel confiable protección de la información le permite proporcionar un nuevo producto DieboldValiTech. La innovadora tecnología de identificación de dos factores es capaz de reconocer al personal de los cajeros automáticos y controlar sus acciones. Con ValiTech, un cajero automático puede identificar con precisión a un empleado autorizado y otorgarle acceso limitado a las funciones del dispositivo. ValiTech crea una entrada en el libro de registro, que documenta el acceso del personal técnico y registra todas las acciones realizadas durante la inspección.
Un nuevo desarrollo de LANIT, una versión de red del sistema de administración y control de acceso ACS-ATM, está diseñado para restringir el acceso al chasis superior del cajero automático. El sistema permite regular el acceso al cajero automático, realizar informes mensuales, semanales y diarios de los empleados que tuvieron acceso al terminal. La solución basada en LanAtmAuthority permite gestionar de forma remota el complejo ACS-ATM.
Para aumentar el nivel de seguridad de la información, se recomienda instalar firewalls, programas antivirus y el programa de control de integridad del software ATM: SymantecEndpointProtection v11.0.
El phishing es un tipo de fraude en Internet con el fin de obtener datos de identificación del usuario ID, contraseña, inicio de sesión, claves de acceso, etc.
Cardadura- un tipo de fraude activo en Internet. Consiste en la obtención de datos confidenciales de usuarios de cuentas de tarjetas internacionales con su posterior uso. Con la ayuda de dispositivos especiales para leer tarjetas magnéticas de plástico, los estafadores escriben en ellas información robada (número de tarjeta, código PIN, etc.). Luego se quitan dinero en efectivo en cajeros automáticos regulares. Porque robar Información necesaria al piratear bases de datos bancarias es casi imposible, los atacantes usan sitios falsos.
Funcionamiento de sitios falsos
Y sucede así: llega un mensaje al correo del banco o del administrador del mismo (por ejemplo), que dice que pasó algo a raíz de lo cual se perdieron tus datos. Y para restaurarlos, solo necesita ir al sitio, ingresar su nombre de usuario y contraseña y realizar cualquier operación. ¿Hecho? ¡Eso es todo! El hecho es que en lugar del sitio web real del banco, los estafadores proporcionan un enlace a su copia perfecta con un dominio similar (en lugar de i - j, en lugar de o - 0, etc.). Después de iniciar sesión en un dominio falso, los estafadores recibirán información sobre su nombre de usuario y contraseña, y luego harán lo que quieran con su cuenta. Aunque patrocinando el terrorismo internacional.
Tenga especial cuidado al recibir este tipo de correos electrónicos. Es poco probable que un banco real se ocupe de este tipo de envío. Después de todo, la imagen del banco depende directamente de esto. Tengo conocimiento de un caso de robo de fondos de algunas cuentas a través de Internet. ¿Qué hizo el banco? ¡Pero nada! No informó a las "víctimas" sobre el incidente en absoluto. ¡Simplemente pagó la deuda en silencio y eso es todo! Este caso fue conocido por un círculo muy reducido de especialistas bancarios, cuyo nombre, por razones obvias, no mencionaré.
El segundo y más común fenómeno son las "acciones de un tonto", cada vez muerden menos, pero aún así están picoteando. Creo que ha visto en los foros o recibido mensajes de SPAM en el correo en el que se le ofreció enviar dinero a algún lugar para recibir aún más más tarde. Estas son solo esas promociones.
El engaño a los usuarios (fraude en Internet en cualquiera de sus formas) es un delito penal. Esto significa que cualquier actividad ilegal en la red es perseguida por la ley. Al menos así debería ser. Sin embargo, los delitos en Internet son muy difíciles de investigar, los perpetradores a menudo no son encontrados y quedan impunes. En cualquier caso, la mayoría de los intentos de nuestra policía nacional para combatir el ciberdelito son en vano.
La labor de los órganos de interior para la seguridad y protección de la propiedad intelectual y la lucha contra la ciberdelincuencia, quede en su propia conciencia. mientras se regocijan por el nivel de preparación de nuestros agentes del orden. Sin embargo, pronto terminará la lafa. Comenzaron a reclutar para las autoridades a tipos que, digamos, no tenían un “pasado limpio”. Por supuesto, no tienen antecedentes penales, pero estaban involucrados en " Vida pasada', no exactamente cosas buenas. También se llevan a cabo varios concursos entre los "policías" recién acuñados. También les ayuda que conozcan a la mayoría de los estafadores de Internet, tk. han estado recientemente entre ellos. Y ahora están recorriendo la red en busca. Por supuesto, no van a poner a sus amigos tras las rejas, sino al destino de todos los demás ... Y el hecho de que ahora no rompan, sino que protejan es un proceso completamente natural en el desarrollo de la industria informática.
Pero el artículo no trata sobre los altibajos de la vida a ambos lados de las barricadas de la vida virtual. No le enseñaremos los secretos de las operaciones ilegales de Internet. Solo le presentaremos lo básico. Para que usted mismo no se convierta en víctima de delincuentes que hacen la vista gorda a todos los estándares morales y roban dinero incluso a los estudiantes pobres. Lo esencial - ¡Ten cuidado!
que es desnatar
Hoy en día, la mayoría de las personas pagan sus compras con una tarjeta bancaria. Muchos empleadores cobran salarios en las cartas. Sin embargo, la introducción de tecnologías modernas provoca la aparición de nuevos estafadores. Ahora están tratando de robar su dinero no solo de su billetera, sino también de su tarjeta de plástico. Skimming ya está en pleno apogeo en Occidente y poco a poco esta especie el fraude llega a nuestro país.
Desnatar es caso especial cardado, durante el cual se usa un skimmer, una herramienta que se usa para leer la pista magnética de la tarjeta. La palabra skimming proviene del inglés skim, que significa crema descremada. Durante la implementación de una operación fraudulenta, se utiliza todo un conjunto de dispositivos de desnatado.
¿Cómo es un lector de seguimiento de tarjetas? Este es un dispositivo que se instala directamente en el lector de tarjetas, ubicado en la puerta principal del área de atención al cliente del banco, y en el lector de tarjetas. Consta de un cabezal magnético de lectura, memoria, un amplificador-convertidor y un adaptador que se conecta a un PC.
Los skimmers pueden ser de tamaño miniatura. La tarea del skimming es leer todos los datos de la pista magnética de la tarjeta. En el futuro, esta información se aplica a una tarjeta falsa. Como resultado, resulta que al realizar una operación en una tarjeta falsa, los fondos se debitan de la tarjeta original.
Para obtener el PIN del titular se utiliza una cámara de video en miniatura, que se instala en el cajero automático (puede ubicarse en los materiales promocionales o en la visera) y se dirige al teclado desde el cual se ingresa el código PIN. Después de eso, se usa un PIN junto con el skimmer, y esto hace posible recibir dinero de manera fraudulenta de un cajero automático. En consecuencia, se eliminarán de la tarjeta original.
La energía para dispositivos en miniatura proviene de baterías pequeñas. Por regla general, los dispositivos se disfrazan cuidadosamente para que coincidan con la forma y el esquema de colores del cajero automático.
Los skimmers pueden transmitir de forma remota la información recibida de la tarjeta a los intrusos que están cerca, así como almacenar información robada. Después de que se copia la información, los atacantes, conociendo el código PIN, pueden retirar efectivo en cualquier cajero automático en nuestro país y en el extranjero utilizando una tarjeta duplicada. Entre otras cosas, el duplicado se usa para comprar en grandes centros comerciales.
Cómo protegerse
Para protegerse de los débitos ilegales en la tarjeta, debe aplicar las siguientes medidas de seguridad.
- Nunca entregue su propia tarjeta a extraños, haga todos los cálculos usted mismo en la terminal.
- Tenga cuidado y esté atento en el cajero automático.
- Utilice la tarjeta únicamente para el fin previsto.
- Preste mucha atención a la apariencia del cajero automático, ya sea que el teclado sea sospechoso (al hojear, se encuentra sobre el cuerpo del cajero automático y puede ver el original debajo del teclado superpuesto) o materiales promocionales. El teclado falso se desplaza ligeramente cuando se toca. Entre otras cosas, parece estar un poco elevada.
- No utilice la tarjeta en lugares sospechosos.
- Realice transacciones bancarias en un cajero automático verificado.
- Compruebe si hay mini videocámaras camufladas instaladas.
¿De qué otras formas puedes protegerte?
Si tiene esa oportunidad, use tarjetas equipadas con un microchip integrado.
Trate de acostumbrarse a ingresar su propio código PIN con una mano, cubra rápidamente el teclado del cajero automático con la otra mano. Recuerde mirar para ver si hay alguien parado cerca o detrás de usted.
En el caso de que su banco le ofrezca la conexión al servicio de notificación de operaciones realizadas con la tarjeta, no se niegue.
Trate de no retirar las finanzas por la noche. Fue en este momento que se instaló el equipo de desnatado. Lo que pasa es que por la noche el servicio de seguridad del banco no vigila los dispositivos.
¿Has visto equipos de desnatado? Olvídese de la ira justa y no trate de retirarla. El dispositivo es costoso, y los estafadores que notan su curiosidad pueden incluso llegar a usar fuerza física hacia ti. ¡La mejor manera de salir de la situación es caminar tranquilamente hasta el servicio de seguridad del banco y contactarla, o salir del edificio del banco y llamar directamente a la policía!
¿Se convirtió en víctima de estafadores? Entonces debe comunicarse inmediatamente con su banco y bloquear la tarjeta.
Los piratas informáticos salen a cazar la noche antes de Navidad
Viniste a la tienda por los regalos de Año Nuevo y quieres pagar con una tarjeta bancaria. "No se pudo procesar el pago, no hay suficientes fondos en su cuenta", se queja enojado el lector de tarjetas. El vendedor parece sospechoso, sus dedos alcanzan el botón de llamada de seguridad. Después de llamar al banco, resulta que alguien ya compró regalos con su tarjeta, pero en Uruguay. Y todavía debes. Este no es el guión de una película de ciencia ficción, sino una situación a la que se enfrentan miles de personas. El corresponsal de MK visitó la guarida de los piratas informáticos y descubrió cómo se preparan para la temporada de ventas y qué se debe hacer para protegerse de ellos.
Robar en 60 segundos
Las tarjetas bancarias aparecieron en Rusia hace 20 años. Al mismo tiempo, aparecieron carders, es decir, hackers especializados en robarles fondos. Durante cinco años, los naipes fueron un atributo de la riqueza, y los cardadores algo muy alejado, del rubro “Sus modales”. Pero la globalización es cada vez más fuerte: desde alrededor del año 2000, los empleados de las grandes empresas rusas voluntariamente-obligatoriamente recibieron tarjetas de salario. Es ilegal; se acuñó la palabra “bossing”, que significa que el jefe impone algunos servicios dentro de la empresa. El autor de estas líneas también recibe un salario en la tarjeta. Como todo el mundo.
Ahora no solo las grandes, sino también las medianas y pequeñas empresas se han pasado al pago de ganancias por transferencia bancaria. En cualquier banco, a los empresarios, propietarios de cuentas de liquidación, se les ofrece fuertemente un "proyecto de salario" tan pronto como el número de empleados de la organización supere las 10 personas. Hay planes para trasladar el pago de pensiones y prestaciones exclusivamente a tarjetas.
No hay duda: las tarjetas son convenientes, sus ventajas son obvias. Una organización que paga salarios con tarjetas ahorra significativamente en cobranza, reportes y cajeros. El consumidor tampoco se ofende: por ejemplo, la gasolina en tarjetas en muchas gasolineras es más barata que en efectivo. Sin mencionar el hecho de que puede pagar durante todo el día y en diferentes lugares. La transferencia de todos los pagos al plástico está respaldada por casi todos los estados del mundo. Los pagos sin efectivo son fáciles de rastrear, dejan rastros. El financiamiento del crimen, por ejemplo, el tráfico de armas o drogas, proviene exclusivamente del "dinero negro", contra el cual luchan todos los estados. Llegó al punto que en los países desarrollados, algunas tiendas y restaurantes dejaron de aceptar efectivo. Cierto, esto fue a principios de la década de 2000; Ahora, tras las protestas de los consumidores, poco a poco se están reanudando.
Pero la procesión triunfal de las tarjetas de plástico en todo el mundo tiene un inconveniente: espacio para los piratas informáticos. La información sobre pagos (transacciones) se almacena durante mucho tiempo (según la ley, 10 años, en realidad más). La tentación de conseguirlo y enriquecerse ilegalmente es muy grande. Bueno, no es como tirar un cuchillo en un callejón oscuro a los transeúntes: una oficina brillante, "trabajo intelectual" en una computadora. Y lo más importante: puedes robar más.
Según la Asociación Internacional de Tarjetas y Acción contra el Fraude Financiero, en 2010 se robaron $7 mil millones de tarjetas plásticas, el promedio de robo fue de $10,000, es decir, se realizaron alrededor de 70 millones (¡!) de transacciones ilegales. En Rusia, la situación también se está calentando. En septiembre, Nikolai Pyatiizbyantsev, jefe del departamento de seguridad de Gazprombank, informó que “las pérdidas bancarias por fraude con tarjetas aumentaron en un 70 % durante la primera mitad de 2011. En términos monetarios, las pérdidas para fin de año pueden superar los 2.300 millones de rublos”.
Al mismo tiempo, los propios bancos de la categoría de posibles estafadores, aparentemente, deberían ser excluidos. Max, un cardador principiante. parece tipico estudiante ruso, que es lo que es. “Empecé a cardar hace dos años. Al principio fui ingenuo, pensé: conseguiré un trabajo en el banco y me daré la vuelta. ¡No importa! Allí la vigilancia es tal que cualquier paso queda registrado. Y los cifrados simplemente no se pueden abrir. No voy a cargar con matemáticas, pero se cifran y se actualizan automáticamente. Un año después, me fui: no hay nada que el cardador pueda atrapar en el banco. Pero ahora, mira".
Max me pidió el número de mi tarjeta Raiffeisenbank, que contenía 80.000 rublos. Lo ingresó en un programa en su computadora. El programa duró 20 minutos. Luego recibí un SMS que me descontaron 40 mil rublos de mi tarjeta. Un minuto después, el segundo SMS sobre la cancelación de otros 40 mil rublos. Un minuto después, el tercero, sobre el recibo de 79 mil 658 rublos: el cardador devolvió el dinero, pero la comisión fue cancelada.
Phishing, skimming y shimming
El fraude con tarjetas de plástico se llama phishing, en inglés - "fishing". El proceso realmente se parece a la pesca: la tarea principal del cardador es encontrar una tarjeta que definitivamente tenga dinero. Como sabes, el código PIN consta de cuatro dígitos. Tener un procesador potente -y las "herramientas de trabajo" de los cardadores son muy avanzadas, como dicen, amontonadas- sacar estos cuatro números no es difícil.
Se seleccionan aproximadamente los mismos códigos para cajas fuertes: un ladrón: "cachorro de oso" se pone auriculares y "da un número". La respuesta de la cerradura al número correcto es diferente que al incorrecto, y una persona con oído para la música puede captarla. Carder no necesita que lo escuchen: un programa que ofrece millones de variaciones de código por segundo lo hace todo por él. En un máximo de media hora, se revelará el código PIN que me fue mostrado.
En teoría, el sistema de seguridad bancaria debería asegurar que las opciones no sean seleccionadas. Ella observa: cualquier cajero automático después de tres intentos incorrectos de marcar el código bloquea la tarjeta. Otra cosa es Internet. El bloqueo también ocurrirá después de tres accesos telefónicos incorrectos, pero con una pequeña aclaración: accesos telefónicos desde la misma computadora. Control por las llamadas direcciones IP. Puede crear una dirección IP cambiante (dinámica). Pero esto se detecta (en caso de selección aleatoria, probablemente se utilizará una dirección no válida), y la programación en la nube aún no. Su esencia es que un programa hacker selecciona muchos miles de computadoras actualmente conectadas a Internet y recopila variantes de código de sus direcciones. Además, los usuarios de la "nube" no son piratas informáticos en absoluto, no saben que se está seleccionando el código en su nombre.
Pero, ¿cómo saber para qué número seleccionar el código? Hay miles de millones de números, y la mayoría de ellos no se utilizan. Algunas tarjetas están bloqueadas, algunas aún no han sido emitidas, otras son válidas, pero no hay dinero para ellas. Aquí es donde comienza la pesca y el phishing.
Se puede pescar con caña. Vieja historia: enviar SMS en nombre del banco con una solicitud para "aclarar" el número de tarjeta (algunos insolentes también piden un código PIN). Más refinado: hacer una "cámara réflex", es decir, un sitio que copie exactamente el sitio del banco. Y agregue un programa hacker que redirige el flujo de clientes a la SLR. Supuestamente entra una persona Área personal” ingresa el número y pierde dinero. Pero la seguridad bancaria está mejorando, las “cámaras réflex” están captando. El fraude por SMS sigue funcionando, pero la campaña educativa de los bancos y los medios de comunicación está dando sus frutos: cada vez son menos los que caen en el anzuelo.
Por lo tanto, es mejor atrapar con una red, en el sentido de redes comerciales e Internet. Organizado grupos criminales, cibermafia. Su representante, Serge, resultó ser un joven sonriente. Él dijo: “Estamos trabajando con una gran cadena minorista de electrodomésticos, que, por supuesto, no te nombraré. Recuerda: cuando pagas, sueltas la tarjeta de tus manos y se la entregas al vendedor. Su salario es pequeño y solo pedimos, para el segundo salario, recordar los números de las tarjetas ricas. Es imposible probar que el vendedor está haciendo esto, solo para atraparlo con las manos en la masa. Hasta que los atraparon. Eh, ahora las compras de Año Nuevo se irán, la gente arrastrará las tarjetas a las tiendas. Ya nos estamos preparando, incluso compramos algunos equipos”.
Particularmente peligrosos en este sentido son ... los camareros. La mesa del restaurante no tiene lector de tarjetas, el mesero toma la tarjeta del cliente detrás del mostrador. Resultado: en 2010, una pandilla cibernética fue expuesta en el Reino Unido. Los camareros daban los números, los cardadores robaban. Durante 5 años de actividad impune, se robaron alrededor de £ 80 millones.Los camiones cisterna también son peligrosos: el lector de tarjetas está detrás de un vidrio grueso, el cliente no ve lo que se está haciendo con su tarjeta. Así que los que se juntaron vacaciones de año nuevo de vacaciones en el extranjero, te avisamos: ¡cuidado! Dicen que en los países del sudeste asiático operan camareros especialmente "amables" (en el sentido de dar la tarjeta - ¡y hola!).
No te olvides de las cartas y los clásicos: desnatar. Los skimmers son dispositivos que leen números de tarjetas y códigos PIN directamente de los cajeros automáticos. Esto está lejos de ser una cámara web banal que rastrea los números a espaldas del cliente. Sus bancos han aprendido a rastrear. Ahora el skimming se lleva a cabo mediante superposiciones en el teclado o la pantalla. Por cierto, estos dispositivos se pueden pedir en Internet, se enviarán por correo urgente a un carder principiante directamente en casa.
Muchos cajeros automáticos y sistemas de pago ahora tienen entrada táctil: el cliente toca con el dedo los botones en la pantalla. Una capa de plástico delgada y discreta en la pantalla, y los clientes se convierten en víctimas. La actividad de los cardadores se ve facilitada en gran medida por el hecho de que muchos cajeros automáticos están ubicados en lugares poco poblados, otros en la selva. Por ejemplo, la terminal del sistema de pago más cercana a mí está literalmente en el bosque, en Elk Island. Es cierto que los propietarios son conscientes del peligro y lo controlan a diario. Y varias veces encontraron registradores de teclas: software espía, y una vez quitaron la "gasa" de desnatado de la pantalla.
Una nueva noción de carders: cajeros automáticos y terminales engañosos. Vale la pena, no es diferente de la cosa real. Solo el dinero no se destina a pagos, sino a favor de los piratas informáticos. Tal "caja" paga en un día, por lo que si no recibió una confirmación por SMS de un pago exitoso, haga sonar la alarma, es posible que se haya topado con una terminal falsa.
Un desarrollo exquisito del skimming es el calce. Al fin y al cabo, además del teclado de los cajeros automáticos y terminales, existe otro punto débil: la ranura donde se inserta la tarjeta. Shima es un dispositivo de pirateo, una placa tan delgada que con la ayuda de una tarjeta portadora especial (es más delgada de lo habitual) se puede insertar en la ranura. Luego, la cuña se levanta ligeramente con un transportador o un destornillador delgado y se pega dentro de la ranura. El dispositivo hace frente a la tarea de leer números perfectamente. No hay protección. Entonces, si su tarjeta está un poco apretada en la ranura de un cajero automático, huya de ella.
vampiros y el cementerio
Además del mercado primario fraudulento de cardadores, también existe uno secundario. Se escriben programas de pirateo, se fabrican tarjetas falsas, portadores de cuñas y skimmers, se venden matrices de números de tarjeta. Era difícil acercarse a estos centros de la cibermafia, pero aun así era posible.
Alexander (nombre real) es una de las pocas personas en Rusia que ha cumplido una pena de prisión real (tres años) por piratería informática. Es respetado en su entorno. Un hombre de poco más de 30 años, tranquilo, equilibrado. Por alguna razón, programé una reunión en... un cementerio. “No, no soy un vampiro”, se ríe, “es solo que este lugar no está captado por satélites. Cualquier mapa de Google muestra que aquí hay un cementerio”. Su oficina parecía un granero, y de hecho lo era: los trabajadores del cementerio guardaban herramientas allí, y el cardador “alquilaba”.
Pero en su interior reinaba la tecnología más avanzada. Las antenas más poderosas llamaron especialmente la atención: una vez que un hacker ha sido atrapado, ahora usa exclusivamente módems de radio. También había una máquina que hacía tarjetas de plástico. Había muchos dispositivos oscuros, según tengo entendido, para la producción de skimmers.
“Rara vez nos cardamos”, admitió Alexander, “vendemos más. Los principales ingresos provienen de los programas de hackers, se escriben y prueban aquí. También podemos comprar números de tarjetas en Occidente, hacer tarjetas aquí y enviar a tipos a retirar dinero. Podemos, por el contrario, vender a Occidente números rusos. Recientemente vendido a Michigan. (En la primavera, una pandilla fue arrestada en Michigan usando números de tarjetas rusas. - MK). Los robos de tarjetas oficiales son solo la punta del iceberg, continuó el carder. - Los occidentales, por ejemplo, después de cancelar el dinero a nuestro favor, bloquean las tarjetas, pero en cuanto se enteran de que se las llevaron de Rusia, retiran las solicitudes. Le tienen miedo a la mafia rusa, pero más bien lo entienden: es inútil, no se devolverá el dinero. Sí, y los bancos se volvieron locos: se esfuerzan por coser el mal manejo de la tarjeta a los estafados y no compensan nada. No, no tenemos miedo. Aquí podemos verlo todo, por lo que tendremos tiempo de destruir los programas si pasa algo. Y el equipo, Dios lo bendiga, se recupera en tres meses.
¿Qué hacer para no ser víctima de los estafadores cibernéticos? Globalmente, nada, solo ore: permítame recordarle que cualquier tarjeta se abre en media hora. La higiene cibernética ayuda un poco: no le dé un código PIN a nadie, no suelte una tarjeta, no use cajeros automáticos, tiendas y restaurantes sospechosos. Pero, ¿ayudará la higiene cuando una epidemia está causando estragos con un aumento de la “morbilidad” en un 70 % en seis meses? Personalmente, después de hablar con los carders, prefiero usar las tarjetas de plástico lo menos posible y retirar efectivo de inmediato.
GLOSARIO DE TÉRMINOS Y JARGONISMOS
JEFE- nuevo Término Legal. La imposición de servicios, como tarjetas de salario, a los empleados de la empresa a instancias del jefe. Hasta ahora, solo en la ley de EE.UU.
ESPEJO- un sitio en Internet, exactamente repitiendo el sitio del banco. Su nombre difiere del sitio legal por una letra, por ejemplo, no banco, sino baank. Un interceptor de programas de piratas informáticos dirige el flujo de clientes bancarios a un sitio espejo.
dirección IP- número de serie de la computadora. Se utiliza para identificarlo en Internet.
ANEXO DE TARJETA- lector de tarjetas. Instalado en cualquier lugar donde se acepten tarjetas. Puede ser utilizado por estafadores para interceptar información.
TARJETAS- nombre propio de los estafadores con tarjetas de plástico. Se ofenden si les llaman "hackers": "No somos hackers, somos carders".
CARDADO, CARDADO— estafar con tarjetas de plástico.
REGISTRADOR DE LLAVE- software espía. Registra qué números o letras se presionaron en el teclado.
PROGRAMACIÓN EN LA NUBE- una nueva tecnología que utiliza los recursos de las computadoras conectadas a Internet sin el conocimiento de sus dueños.
DESNATAR- De inglés. skimming (deslizamiento) - lectura ilegal de datos de tarjetas de plástico. Se lleva a cabo con la ayuda de dispositivos especiales: skimmers. Por ejemplo, usar cámaras web y superposiciones en el teclado y la pantalla del cajero automático.
DESNATADORA- un dispositivo para la lectura ilegal de información de tarjetas de plástico. Debido al atraso legislativo, la circulación de skimmers no está prohibida: se pueden comprar legalmente en Internet.
Suplantación de identidad- De inglés. pesca (pesca). El proceso de atrapar tarjetas de plástico en Internet que contienen dinero para robarlas. Nombre colectivo para todo tipo de fraude con extracción ilegal de contraseñas y códigos PIN.
CALZANDO- De inglés. cuña (junta delgada). Tablero flexible muy fino (menos de 0,1 mm, la mitad del grosor de un cabello humano). Se inserta en la ranura del cajero automático y lee datos de tarjetas de plástico. La nanotecnología se utiliza para la producción. La rotación no está prohibida. Todavía no hay métodos de protección.