Защитна лента за банкови карти SkimProt

SkimProt е изобретение на Профисек ЕООД, Информационна сигурност ЕООД, разработенo съвместно с ПОЛИГРАФИЧЕСКА ГРУПА ДЕМАКС. Представлява защитна лента за банкови карти, като кредитни, дебитни и други подобни, снабдени с магнитна лента и чип. Изобретението намира приложение най-вече в банковото дело за предотвратяване на банкови обири на клиенти на банките и други финансови институции.

С навлизането на дебитните и кредитните карти се увеличи обема транзакции и видовете плащания извършвани чрез тях. Това доведе до интерес от страна на криминалния контингент и постепенно се въведоха криминални практики за кражба на пари от обслужваните с кредитни и дебитни карти сметки.

Върху картите в електронен и графичен вид са нанесени данни за картата (номер, дата на валидност и др.) и за картодържателя (име). Когато такава карта се прекара през устройство за безкасово плащане, по тези данни в авторизационния център се проверява наличността по сметката към картата и статуса на самата карта. Данните, намиращи се в картата, са записани на магнитна лента (тъмната дясна част на гърба на картата) и са дублирани в чип памет (блестящата месингова пластина) и чрез релефни цифри и букви на лицето на картата. На гърба на картата има поле за подпис и цифров код за сигурност, който се използва  при плащания в интернет.

Заедно с картата винаги върви и PIN код, представляващ четири цифрено число, известно на притежателя на картата. Този код се въвежда ръчно, чрез клавиатура и е част от процедурата за извършване на транзакции.
За да бъде извършено безкасово разплащане с дадена карта е необходимо по електронен път тези данни да стигнат до авторизационния център, където се извършва разпознаване на картата и разрешаване на транзакцията.

За да се извърши плащане в интернет е достатъчно да се знае номера на картата, валидността, името на картодържателя и цифровия код за сигурност.

Данните, съдържащи се в картата, са данните към които се стремят криминалните елементи. Разполагайки с тези данни в електронен или друг вариант, те могат да извършват разплащания и теглене на пари от името на картодържателя по целия свят, докато сметката бъде опразнена или блокирана. Обемът на изтеглените по този начин пари и незаконни транзакции за Европа надхвърлят 300 милиарда евро.

Краденето на данни от кредитни и дебитни карти е известно като скиминг. Технологията на скиминга е следната:
При поставяне на карта в устройство за безкасово разплащане, чрез предварително поставено, преди четеца на банкомата (АТМ устройство) специално устройство (скимер), данните от картата се записват и запаметяват или предават по радио канал от скимера. В последствие по тези данни се изготвя дубликат на скимираната кредитна карта.

Тези данни не са достатъчни, за да се извърши транзакция. Необходим е и PIN код. За да се вземе PIN кода се използват основно два метода. Заснемане набирането на PIN кода на клавиатурата или поставяне на фалшива клавиатура с кий логър т.е. клавиатура, която запомня набраните през нейните бутони комбинации и предава тези комбинации на престъпниците. Основният метод е чрез заснемане с видео камера. На пазара в момента могат да се намерят множество миниатюрни и евтини видео камери, записващи автономно и с висока резолюция, включително камерите вградени в GSM апаратите.

Скимер може да бъде поставен и в търговски обект, там където се плаща на касата, но това обикновено става с участието на персонала и няма как да бъде разкрито или предотвратено от потребителите.

За да се получат данни от карта е достатъчно тя да се заснеме от двете страни с фотоапарат или мегапикселова видео камера. За целта се монтират две камери до мястото за плащане. Една от горе и една от долу на плота на касата, за да може докато потребителя подава картата си, за да се извърши плащане, същата да бъде заснета с висока резолюция и от двете страни. С така получената информация престъпниците просто започват да пазаруват в интернет от името на потребителя.

Данните съхранявани в чипа на картата, обаче са на относително сигурно място. До момента няма данни за прочетен (скимиран) чип на карта.

От друга страна, предназначението на кредитните и дебитните карти е с тяхна помощ да се извършват безкасови плащания по целия свят. В момента в света се намират в обръщение 1,62 милиарда карти с чип, които представляват 45% от всички налични дебитни и кредитни карти. За тяхното използване са налице 24 милиона банкомати, снабдени с чипови четци или 76% от всички банкомати в света.  Видно е от статистиката, че не всички банкомати по света са снабдени с чипови четци, така че да бъдат избегнати скиминг устройствата за магнитните ленти на картите. В много държави, например от Северна Америка – САЩ и Канада голяма част от банкоматите не са снабдени с чипови четци. В тези държави банките нямат интерес да провеждат мероприятия по защита от скимиране. Изчислено е, че в САЩ общата за системата сума на загуби от скиминг за банките е около 10 пъти по-малка от сумата, необходима да се преоборудват терминалите с по-сигурни технически средства. Парите на банките са застраховани срещу такъв тип посегателства и банките възстановяват щетите си от застраховките.

В действителност неприятните последици остават главно за потребителя. Потребителят може да направи много за сигурността на данните на собствената си карта.

За повишаване сигурността на данните на банковата карта, не бива тя да се дава на непознати; не трябва да се дава информация за номера на картата; когато се въвежда PIN-a, трябва да се закрива клавиатурата с ръка; при възможност трябва да се избягва тегленето на пари вечер от неосветени банкомати и тогава, когато изглежда че на банкомата има нередности, и други инструкции, които се получават при издаване на картите.

Препоръчително е да се използват кредитна и дебитна карти с чип. Картите с чип са с по-висока степен на защита. Проблем е, че информацията, записана в чипа я има и на магнитната лента. Това се прави, за да може с картата да се извършват транзакции навсякъде по света. В много държави, обаче включително и в САЩ, повечето банкомати и други такива устройства не работят с карти с чип. Затова при наличието на карта с чип, е препоръчително, да се избягва използването на устройства, които имат четец за магнитни карти. При банкоматите няма как да избегнете това, но в магазините може. Устройствата, използвани в магазинната мрежа, т.н. наречените „point of sell” имат по-малък процеп, в които картата се вкарва с тясната страна и влиза на около 1 /3 от дължината си.

Очевидно е, че тези мерки първоначално са трудно изпълними и изпълнението им може да изглежда странно или параноично. Ясно е, че нетрениран човек трудно ще открие скимиращо устройство или признаци за поставянето му.

От друга страна не са известни достатъчно надеждни технически средства за опазване от скиминг. Чрез SkimProt по прост и елегантен начин се решава сериозен въпрос, свързан със сигурността на банковите карти.

Новини

picture

Тринадесети брой на специализираното списание за сигурност Professional

Виж още »

Проекти

picture

Система за откриване на подслушвателни устройства, използващи WiFi и Bluetooth свързаност

Виж още »

Библиотека

picture

Защита от подслушване през мобилен телефон

Виж още »