"תפוס להחזיק ולתת לו להתנועע" - רפרוף בכרטיסי כספומט הוא עדיין דבר

עבר זמן מה מאז שכתבנו על רחפני קלפים, שמילאו בעבר תפקיד גדול בפשעי סייבר עולמיים.

בימינו, רבים אם לא רוב הסיפורים על פריצות סייבר ופשעי סייבר סובבים סביב תוכנות כופר, ה- Darkweb והענן, או איזה שילוב לא קדוש של השלושה.

בהתקפות של תוכנות כופר, הפושעים למעשה לא צריכים לגשת לזירת הפשע באופן אישי, והתמורה שלהם נשלפת באינטרנט, בדרך כלל תוך שימוש בטכנולוגיות בדוי-אנונימיות כגון Darkweb ו-cryptocoins.

ובכמה פשעי סייבר מבוססי ענן, בעיקר אלה המכונים בדרך כלל התקפות שרשרת האספקה, הפושעים אפילו לא צריכים לגשת לרשת שלך בכלל.

אם הם יכולים למצוא צד שלישי שאליו אתה מעלה נתונים יקרים באופן קבוע, או שממנו אתה מוריד תוכנה מהימנה באופן שגרתי, אז הם יכולים ללכת אחרי אותו צד שלישי במקום, ולעשות שם את הנזק.

במתקפות סחיטת סייבר אחרונות, עשרות שמות מותגים גדולים נסחטו בגלל נתוני עובדים ולקוחות גנובים, למרות שהנתונים הללו נגנבו בעקיפין.

ב מתקפות MOVEit, למשל, הנתונים נגנבו מספקי שירותים כמו חברות לעיבוד שכר, שהשתמשו בתוכנת העברת קבצים באגי כדי לקבל העלאות מאובטחות כביכול מלקוחותיהם.

בלי לדעת הן החברות שבסופו של דבר נסחטו והן לשירותי עיבוד השכר שבהם השתמשו, תוכנת העברת הקבצים MOVEIt אפשרה לנוכלים לבצע הורדות לא מורשות גם של נתונים מאוחסנים.

פשע סייבר בפנים שלך

הרחפת כרטיסי אשראי, לעומת זאת, היא פשע הרבה יותר בפנים שלך, הן עבור מבצעיו והן עבור קורבנותיהם.

רחפני כרטיסים שואפים להעלים את המידע הפרטי שהוא קריטי לכרטיס הבנק שלך, בדיוק ברגע שאתה משתמש בכרטיס.

ידוע לשמצה, רחפני כרטיסים לא רודפים רק אחר נתונים המאוחסנים בכרטיס עצמו אלא גם אחרי ה-PIN המשמש כגורם האימות השני שלך.

בין אם לכרטיס שלך יש רצועה מגנטית לשיבוט בקלות, או שבב מאובטח שלא ניתן לשכפל, או שניהם, ה-PIN שלך לעולם לא מאוחסן בכרטיס עצמו או בו.

לכן פושעי רפרוף משתמשים בדרך כלל במצלמות נסתרות מיניאטוריות כדי לחטט ב-PIN שלך בזמן שאתה מקליד אותו.

למרבה האירוניה, אולי מכונות מזומנים בנקאיות, המוכרות יותר ככספומטים, מהוות מיקום מושלם לציוד להרחקת כרטיסים.

כספומטים כמעט תמיד תופסים את הכרטיס שלך בצורה מכנית ומושכים אותו ישר לתוך המכונה, מחוץ לטווח הראייה וההישג.

(כנראה, זה משתי סיבות עיקריות: ראשית בגלל שהתהליך הזה נוטה לחתוך את כל החוטים הנוכלים המולחמים על הכרטיס שעלולים לחבר אותו לעולם החיצון בזמן שהוא בשימוש, ושנית בגלל שהוא מאפשר לבנק להחרים את הכרטיס אם הוא חושב שאולי זה נגנב.)

במילים אחרות, הוספת קורא מגסטריפ מזויף לכספומט היא בדרך כלל יעילה יותר מאשר לעשות את אותו הדבר בכל מסוף הקשה לתשלום או שבב ו-PIN, שבו ה-magstripe המלא לעולם לא עובר לתוך הקורא או מעליו.

כמו כן, כספומטים תמיד מבקשים את ה-PIN שלך, ולעתים קרובות יש להם שפע של תכונות משטח נוחות שבהן ניתן להסתיר מצלמה זעירה לעין.

כאשר אמצעי זהירות ביטחוניים משפיעים הפוך

באירוניה אחרת, לובי בנקים מוארים היטב שמטרתם לספק סביבה מרגיעה, הם לפעמים מקום טוב יותר לרחפני כרטיסים מאשר כספומטים עם תאורה עמומה ברחובות צדדיים.

במקרה אחד שאנחנו זוכרים, לובי הכספומטים בבניין במרכז העיר ששירת מספר בנקים הותקנה דלת "אבטחה" לאחר שעות העבודה כדי לגרום ללקוחות להרגיש בטוחים יותר.

הדלת נועדה למנוע מכולם להסתובב בין הכספומטים כל הלילה, מכיוון שמשתמשי כספומט לעתיד נאלצו להחליק כרטיס בנק כלשהו בכניסה כדי לקבל גישה ראשונית.

עם זאת, במקום לשפר את האבטחה, הדבר החמיר את המצב, מכיוון שהנוכלים פשוט התקינו קורא כרטיסים נסתר לדלת עצמה, וכך העלו את הנתונים מהכרטיסים של כל הבנקים לפני שלקוחות הגיעו לכספומטים בפועל.

יתר על כן, הנוכלים יכלו להשתמש במצלמה נסתרת בלובי, במקום מודבק על כל כספומט ספציפי, כדי להיזהר מה-PIN של המשתמשים.

כמו התקפות MOVEit שהוזכרו לעיל, שבהן חברות גנבו את נתוני הגביע שלהן מבלי שהגישה למחשבים שלהן בכלל, הנוכלים האלה שחזרו את נתוני כרטיסי הכספומט והתאמתו מספרי PIN עבור מספר בנקים שונים מבלי לגעת פיזית בכספומט אחד.

במקרה אחר שאנו מכירים, הנוכלים צילמו בחשאי מספרי זיהוי אישיים בכספומט בשטח של הבנק עצמו על ידי הצבת מצלמת המעקב שלהם לא על הכספומט עצמו, שהצוות הוכשר לבדוק באופן קבוע, אלא בתחתית בעל חוברת תאגיד ב-. קיר לצד הקופה.

הצוות, כך נראה, סייע בשוגג לפושעים על ידי מילוי חובה של מחזיק החוברת בכל פעם שנגמר לו חומר שיווקי, וסיפק כיסוי מילולי לתא הנסתר בתחתית שבו הוסתרה חומרת מצלמת הריגול.

רחפנים עדיין בעסק

ובכן, רפרוף בכספומט הוא עדיין מאוד פשעי סייבר בתהליך, כמו דווח בסוף השבוע על ידי משטרת בריסביין בקווינסלנד, אוסטרליה, שם נעצרו לאחרונה שלושה גברים בגין שורה של עבירות הקשורות לרחיפה.

נראה שהחזה ירד בערך כך:

• 2023-07-31: מכשירי רחיפה נמצאו בחבילת דואר יורטה. נראה כאילו החבילה הופנתה לאדם לא קיים, וכנראה נותנת לתושבים בכתובת המשלוח הכחשה סבירה אם פשטו עליהם כשהחבילה הגיעה.
• 2023-08-02: כספומט שנפגע דווח למשטרה על ידי בנק מקומי. כפי שהוזכר לעיל, מוסדות פיננסיים מטאטאים באופן קבוע את מכונות המזומנים שלהם לאיתור סימנים של חבלה או חלקים תקועים. מכשירי רפרוף מיוצרים בדרך כלל לפי הזמנה, בדרך כלל מעוצבים בתלת מימד מפלסטיק כדי להתאים היטב לדגמים ספציפיים של כספומט, ומעוטרים בכל המילים, הסמלים או סימני המותג הדרושים כדי להתאים לכספומט שאליו הם הולכים להיות מחוברים.
• 2023-08-03: בלשי פשעי סייבר במעקב הבחינו בשני גברים מתקרבים לכספומט שנפגע. אנו מניחים שהבנק הוציא בכוונה את הכספומט המצומצם משירות, ובכך לא רק מונע רפרוף אקטיבי של לקוחות, אלא גם מציע לנוכלים שאם הם רוצים להחזיר את הרחפן, עליהם לפעול במהירות לפני ביקור בכספומט. ל"תיקון" והמכשיר נמצא והוחרם.

לאחר מרדף רגלי קצר אך מהיר דרך קניון קווין סטריט הפופולרי בבריסביין, החשודים הנמלטים נתפסו ונעצרו.

עם צו חיפוש ביד עבור הכתובת למשלוח על החבילה המיירטת, השוטרים ביקרו וטוענים שמצאו "שתי מצלמות עם חורים ומספר פריטי זיהוי מזויפים, כולל כרטיסי בנק ותמונות של רישיון ודרכון".

המצלמות, אומרים במשטרה, הוסתרו בתוך חלקי כספומט ממותגי בנק.

כמו כן, לטענת השוטרים, אחת התעודות המזוייפות שהתגלו בפשיטה תאמה במקרה את השם על החבילה המיירטת המכילה מכשירי רחיפה.

אז נעצר החשוד השלישי.

מה לעשות?

כדי לקבל מושג ממה להיזהר בכספומטים חשודים, למה לא לצפות בקטעי וידאו נבחרים מהחזה, כמו פורסם על ידי משטרת קווינסלנד?

רכיבי חומרת הרפרוף מופיעים בסוף, לאחר כמה צילומי מצלמת גוף של החשודים שעברו שיפוץ ונתפסים במרדף הרגל, עם צליל לחיצת אזיקים:

המשטרה לא הכניסה שום חפצים ידועים עם לוחות ההרחקה לתחושת קנה מידה, אבל אנחנו מנחשים שלוחות הפלסטיק הכחולים שתראו, שבתוך אחד מהם מסתתר מה שנראה כמו מדף מוטבע. לוח אם מערכת על שבב, מיועדים לשבת לצד החריץ שאליו אתה מכניס את כרטיס הכספומט שלך.

אנו מנחשים שהכחול הדו-גוני תואם את ערכת הצבעים של הבנק עצמו, כשהחץ הצהוב מצביע על חריץ הכרטיס.

כפי שהוזכר לעיל, מכשירי רחיפה מיוצרים לרוב בהזמנה אישית כדי להתאים למיתוג הנוכחי של הבנק ולכספומטים שאליהם מכוונים הנוכלים, ובכך מקשים על הזיהוי שלהם מאשר חלק מהפנלים הגנריים בצבע בז' שראינו. בעבר, כמו זה מא הפסקת משטרת קווינסלנד חזרה בשנת 2012:

או העצה היא:

• אל תתביישו לבדוק מקרוב את חומרת הכספומט ואת הסביבה שלכם. שים את העיניים שלך עד לפני השטח אם אתה לא בטוח אם חלק מסוים באמת שייך.
• כסה תמיד את לוח המקשים במלואו בעת הזנת ה-PIN. עשה זאת גם כשאתה בתוך בנק וככל הנראה אין אף אחד אחר בסביבה.
• תפוס אחיזה ותן לו לנענע אם אתה לא בטוח. שימו לב לחלקים שלא ממש מתאימים, שאינם תואמים את העיצוב המקורי, או שככל הנראה אינם חלק מהמבנה של הכספומט המקורי.
• אם אתה רואה משהו, אמור משהו. אל תזין את ה-PIN שלך. שחזר את הכרטיס שלך, הסתלק בשקט ופנה למשטרה המקומית שלך או התקשר לבנק הנוגע בדבר. השתמש במספר מהכרטיס שלך או בהצהרה קודמת, או במקרה הגרוע במספר איש קשר המוצג על המסך של הכספומט עצמו. אל תתקשר למספרים המחוברים או מוצגים ליד הכספומט, כי הנוכלים יכלו לשים אותם שם בעצמם.

כמו תמיד, תסתכל לפני שאתה מזנק..

---

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• ChartPrime. הרם את משחק המסחר שלך עם ChartPrime. גישה כאן.
• BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
• מקור: https://nakedsecurity.sophos.com/2023/08/15/grab-hold-and-give-it-a-wiggle-atm-card-skimming-is-still-a-thing/