Contemplez à quel point les écumoires ATM deviennent minces

Les écumeurs de guichets automatiques sont des appareils électroniques conçus pour lire les informations des cartes bancaires, et ils sont généralement associés à une caméra pour capturer le code PIN d’un utilisateur. Ces appareils doivent toujours cacher leur présence, et leur conception a été un peu une course aux armements. Les skimmers conçus pour être insérés dans un lecteur de carte comme un parasite existent depuis plusieurs années, mais [Brian Krebs] montre des images de matériel d’écumoire récemment capturé d’une épaisseur d’une fraction de millimètre seulement. Et c’est y compris la batterie.

À mesure que le matériel devient plus petit, les caméras pour capturer la saisie du code PIN sont plus facilement cachées dans des éléments tels que de faux panneaux.

Le but de ces skimmers est de lire et d’enregistrer les données de la piste magnétique d’une carte. À elles seules, ces données ne suffisent pas à faire quoi que ce soit de ignoble. C’est pourquoi le matériel est complété par un appareil séparé qui capture le code PIN d’un utilisateur au fur et à mesure qu’il le tape, et cela se fait généralement avec une caméra. Ceux-ci deviennent également plus petits et plus fins, ce qui les rend plus faciles à dissimuler. Avec une copie des données de la bande magnétique de la carte et du code PIN du propriétaire, les criminels ont tout ce dont ils ont besoin pour créer une carte clonée qui peut être utilisée pour effectuer des retraits. (Ils ne le font pas eux-mêmes, bien sûr. Ils contraignent ou dupent des tiers à le faire pour eux.)

Récupérer les données de ces skimmers a également conduit à une certaine habileté de la part des criminels. Les lecteurs insérables conçus pour établir une connexion avec le skimmer et télécharger les données sont la manière dont cela se fait. Soit dit en passant, récupérer les données d’un skimmer installé est également quelque chose que les criminels ne font pas eux-mêmes, de sorte que les données sont cryptées. Après tout, il ne serait tout simplement pas judicieux qu’un intermédiaire se fasse une idée de l’utilisation de ces données à ses propres fins.

Les contre-mesures incluent les fabricants de guichets automatiques profitant eux-mêmes de petites caméras et utilisant la reconnaissance d’image pour surveiller les éléments internes de la zone de la carte pour tout ce qui semble déplacé. Une autre consiste à modifier la conception interne et la structure de la fente pour carte, empêchant les skimmers d’insertion de se localiser et de se verrouiller en place (au moins jusqu’à ce qu’ils soient repensés pour compenser.) De manière amusante, les efforts pour modifier la conception des composants clés d’un guichet automatique de manière inattendue pour empêcher les criminels d’attacher leur propre matériel a conduit notre propre Tom Nardi à découvrir un écumeur, seulement pour découvrir que ce n’était pas un écumeur.

Alors, avec le matériel d’écrémage de plus en plus petit et plus difficile à détecter, que faire ? [Brian] souligne que, quelle que soit l’intelligence avec laquelle le matériel est caché, couvrir le clavier avec votre main lorsque vous saisissez votre code PIN va à l’encontre d’un élément essentiel d’une opération d’écrémage : la capture de votre code PIN. Malheureusement, après avoir examiné de nombreuses heures de vidéo à partir du matériel de skimmer capturé, [Brian] dit que c’est apparemment une précaution que pratiquement personne ne prend.