Останнім часом кардерів почали брати на озброєння новий різновид скіммінгу - шіммінг. Відповідно до назви (shim - тонка прокладка), замість традиційних громіздких накладок на щілину для прийому пластикових карт банкоматів (скімерів), в шиммінгу використовується дуже тонка, гнучка плата, яка впроваджується через щілину банкомату всередину, повідомляє фахівець Cisco Systems Джеймі Хірі (Jamey Heary) у сво му блозі Cisco Security Expert, пише Інтернет
«Шім» підсаджується за допомогою спеціальної картки-носія: її просовують у щілину банкомату, де тонкий «шім» приєднується до контактів, зчитувати дані з карток, після чого карта-носій видаляється. Далі все працює, як і при традиційному скіммінгу - тобто з вставлених в банкомат пластикових карт тихенько зчитуються всі важливі дані, які потім використовуються зловмисниками для виробництва карт-дублікатів і зняття з їх допомогою грошей. Єдина, але вкрай важлива відмінність від скіммінгу полягає у відсутності будь-яких зовнішніх ознак того, що в банкоматі сидить «жучок».
Виходячи з специфікацій, що регулюють розміри щілини кард-рідера, товщина «шіму» не повинна перевершувати 0,1 мм, оскільки інакше він буде заважати пластикових картах. Це приблизно вдвічі тонше людського волосся. Крім того, «шім» повинен володіти певною гнучкістю, інакше його неможливо буде впровадити в банкомат. Звичайно, це ще не нанотехнології, проте все одно виробництво такої плати - завдання нетривіальне.
Однак принаймні у одного угруповання кардерів вже є технічні засоби для масового виробництва «шімів». За даними Хірі, таке виробництво вже налагоджено, і «шіми» широко використовуються «в певних частинах Європи».
Експерт Cisco називає одну з головних причин того, що скімінг (і, відповідно, шіммінг) працює: у більшості випадків дані, якими обмінюються пластикові картки та банкомати, йдуть у відкритому, нешифрованому вигляді. Тим не менше багато пристроїв для введення PIN-коду підтримують зчитування цього коду в зашифрованому вигляді (за допомогою публічного ключа). Хірі вважає, що використання цієї можливості може стати перешкодою для зловмисників.
Відзначимо, однак, що кардери все одно частіше тільки отримують PIN-коди у відкритому вигляді - за допомогою прихованих відеокамер, націлених на клавіатуру банкомату, або фальшивих клавіатур-накладок. Але в будь-якому випадку, проблема шіммінга повинна якось вирішуватися на стороні виробників банкоматів. Навіть якщо користувачі добре вивчили всі заходи протидії скімінгу, від них немає ніякої користі при шіммінг-атаках.
За матеріалами «Власті.net»
|