18 Eylül Ürün İncelemesi: Skim Swipe POS Perakende Terminali Kart Skimmer Dedektörü
Bloglar, Videolar
Verifone, NCR, Equinox, Ingenico, Hypercom vb. tüm kartlı perakende POS terminallerinde çalışır.
– David Braue
Melbourne, Avustralya – 18 Eylül 2024
Arabanızı düzenli olarak benzinle dolduruyorsanız, muhtemelen bir noktada bununla karşılaşmışsınızdır: Pompada veya içerideki kart makinesinde, cihazın bozulduğunu ve nakit ödeme yapmanızı isteyen bir işaret vardır; eğer nakit paranız yoksa, biraz çekmek için tesis bünyesindeki ATM’yi kullanabilirsiniz.
Benzin almanız gerektiğinde, benzin almanız gerekir; bu yüzden birçok şüphesiz müşteri kartlarını makineye takar ve günler veya haftalar sonra banka ekstrelerine baktıklarında kart bilgilerinin çalındığını ve suçlular tarafından dünya çapında bir harcama çılgınlığına başlatıldığını görürler; çevrimiçi ve çevrimdışı.
Bu çok özel suç türü, siber suçluların (çoğunlukla gelirden pay teklif edilen benzin istasyonu görevlileri veya market çalışanlarının yardımıyla) siteyi kart kopyalama cihazlarıyla zehirlemesi nedeniyle mümkün oluyor. Bu cihazlar, ATM’lerin kart yuvasının veya satış noktası terminallerinin yan tarafındaki kaydırma rayının içine sessizce yerleştirilen, özel olarak tasarlanmış cihazlardır.
Bu cihazlara, PIN’inizi girerken yakalayan küçük kameralar veya hatta şeffaf tuş takımı kaplamaları eşlik edebilir. Bazı cihazlarda dahili Bluetooth bile bulunur, böylece suçlular arabalarından inmeden en son verileri indirebilir.
Cihazdan verileri indirdikten sonra suçlular ya ayrıntıları çevrimiçi satar ya da ayrıntıları kredi kartı boşluklarına yazmak için özel ekipman kullanır. Önce birkaç düşük değerli işlemle kartları test edebilirler – örneğin yerel bir dükkandan birkaç paket sakız satın almak – sonra hızla nakit karşılığında satılabilen televizyonlar gibi yüksek değerli ekipmanlara geçebilirler.
Soruna ilişkin farkındalığın artmasına rağmen, suçlular kart bilgilerini çalmanın ve istismar etmenin yeni yollarını bulmada olağanüstü derecede iyi olduklarını kanıtlıyor: Federal Ticaret Komisyonu’nun son verileri, 2024’ün ilk yarısında 23.011 “mevcut hesap dolandırıcılığı” vakasının bildirildiğini ve bu rakamın 2023’ün tamamında bildirilen 44.855 vakayı aşma yolunda olduğunu gösterdi.
Dolandırıcılık önleme firması FICO daha da büyük rakamlar gördü ve yakın zamanda bilinen dolandırıcılık yapılan kart sayısının 2022’den 2023’e yüzde 96 arttığını bildirdi. Bu dönemde yaklaşık 1.600 dolandırıcılık olayında 315.000’den fazla etkilenen kart tespit edildi.
Dolandırıcıların hedef aldığı ilk beş eyalet Kaliforniya, Teksas, Kolorado, New Jersey ve Pensilvanya oldu ve bu eyaletler toplamda tüm olayların neredeyse yarısını oluşturdu; New York, Ohio, Virginia, Florida ve Illinois’i de eklediğinizde bilinen tüm olayların yüzde 70’ini oluşturuyorsunuz.
Gerçek sayıların bundan çok daha yüksek olması muhtemel; bunun tek nedeni, birçok mağdurun paralarını geri almaya çok fazla odaklanmış olması ve suçu bildirmek yerine, birçok dükkan sahibinin benzin pompalarının, ATM’lerinin veya satış noktası terminallerinin tehlikeye girdiği keşfedildiğinde yetkililere haber vermemeyi tercih etmesi.
Kablosuz test ve güvenlik uzmanı firma Berkeley Varitronics Systems’ın (BVS) CEO’su Scott Schober, kart hırsızlığı yapan suçlularla başa çıkmak için işletme sahiplerine ve kolluk kuvvetlerine yardımcı olmak amacıyla yenilikler geliştirdiğini belirterek, “Genellikle sadece kart kopyalama cihazını fişten çekip benzin istasyonunun arkasındaki bir kutuya atıyorlar” şeklinde konuştu.
Schober, “Onların o skimmer’ı oradan çıkarmak gibi bir çıkarları yok çünkü her iki şekilde de para kazanmaya devam ediyorlar” diye açıkladı.
“Bunu yerel kolluk kuvvetlerine bildirmiyorlar çünkü [skimming is] federal bir suç. Eğer federal yetkililere bildirilirse, gelip pompayı veya benzin istasyonunu sık sık kapatırlar. Ve eğer medya bunu duyarsa, bir dolandırıcı bulunduğunu bildirirler — ve iş durur.”
Bu kedi-fare oyununda sen peynirsin
FBI’ın yönettiği kart kopyalama soruşturmalarının sayısına bakıldığında, sorunun ortadan kalkmadığı açıkça görülüyor. Birçok kart kopyalama planı, yoğun olarak bir bölgeyi hedef alıp daha sonra başka bölgelere geçen çeteler tarafından yürütülüyor.
Sahte banka kartları ve kart kopyalama cihazları kullanmak suçundan bir Rumen vatandaşı yakın zamanda 18 ay hapis cezasına çarptırıldı ve 75.000 dolar para cezasına çarptırıldı; bir başka Rumen vatandaşı ise ATM kart kopyalama grubu işletmek suçundan 75 ay federal hapis cezasına çarptırıldı.
FBI, Gizli Servis ve New York Doğu Bölgesi ABD Savcılığı’nın ortaklaşa yürüttüğü yakın tarihli bir soruşturmanın ardından yetkililer, Mayıs 2022 ile Şubat 2023 arasında ATM’lere kart kopyalama cihazları saklayan ve 600’den fazla mağdurun hesabını tehlikeye atan beş New York City sanığını suçladı.
Tutuklamaların bildirildiği sırada FBI’ın sorumlu yardımcı müdürü James Smith, “Sanıkların bu dolandırıcılık faaliyetini gizlemek için gösterdikleri ortak çabalar, dolandırıcılığın yaklaşık bir yıl boyunca toplumu rahatsız etmesine olanak sağladı” dedi.
Bu dolandırıcılıkta, tamamen kart yuvasının içine yerleştirilen “derin uçlu kart kopyalama cihazları” kullanıldı ve kurum, “sanıkların kullandığı türden ATM’lere takılan gelişmiş kart kopyalama cihazları ve iğne deliği kameralarının ATM kullanıcıları tarafından gizlenmiş ve fark edilmemiş olabileceğini” söyleyerek uyarıda bulundu.
Derin uçlu kart kopyalama cihazları, ATM’lerin kart yuvasına tam oturması için tasarlanmış plastik kaplamalar olan eski kart kopyalama cihazlarına kıyasla çıtayı önemli ölçüde yükseltti. Cihazın normal çalışmasına müdahale etmeden kartın arkasındaki manyetik şeritten kart bilgilerinizi okuyan ikinci bir okuma kafası eklendi.
Bankalar, kart yuvasının genişliğini daraltarak yalnızca kartın sığmasını sağlamak veya geçerli bir kart tespit edilmediği takdirde yuvaya erişimi fiziksel olarak engelleyen fiziksel solenoidler eklemek gibi, dolandırıcılara karşı fiziksel korumalar ekleyerek yanıt verdi.
“Sorun şu ki kötü adamların yaptığı tek şey gidip bir ATM satın almak ve fiziksel bariyer satın almak, sonra da ‘bu tekniği önleyecek bir dolandırıcı tasarlayalım’ demek,” diyor Schober. “Bankalar tüm makinelerini yükselttikten ve milyonlarca dolar harcadıktan sonra, gecenin bir yarısı yüzlercesine dolandırıcı yerleştirildiğini keşfettiler.”
“Hırsızlar akıllıdır: koyduğunuz her türlü engeli ararlar ve onu aşmanın bir arka kapısını bulurlar.”
Yetkililer açısından bu, kart kopyalama cihazlarını tespit etme ve bunları kullanan suçlulara kadar izleme mücadelesinin zahmetli ve uzun vadeli bir çaba olabileceği anlamına geliyor. Ancak tüketiciler açısından bu, kart kopyalama cihazlarının neden olduğu sıkıntının yakın zamanda ortadan kalkmayacağı anlamına geliyor.
Sonuçta, her zaman soyulacak bir benzin istasyonu, market veya ATM olacaktır ve suçlular tekniklerini geliştirdikçe ortaya çıkarılan dolandırıcılıkların bazıları gerçekten akıl almaz boyutlardadır.
Bu tür suçları soruşturan kolluk kuvvetleriyle yakın bir şekilde çalışan Schober, birçok dolandırıcılığa tanık oldu: Örneğin, bir suç çetesi, bir benzin istasyonunda müşterilerin kart bilgilerini çalıyor, ardından bu kartları bir kamyonetin arkasına yerleştirilen büyük bir tankı doldurmak için kullanıyordu.
Kamyon köşeyi dönüp benzini daha büyük bir tankere dolduruyor ve tanker dolana kadar bu işlemi tekrarlıyordu. Tanker dolduğu anda benzini istasyon sahibine satıyordu, suçlulardan kendi benzinini geri satın aldığının farkında bile değildi.
Skimmer’ları saklandıkları her yerde bulmak
Yetkililer tüketicilere kart kopyalama cihazlarından uzak durmaları için standart ve bilindik bir ipucu listesi sunuyorlar: Fiziksel katmanlara dikkat edin; PIN kodunuzu girerken elinizi örtün; karanlık ve açık alanlardaki veya turistik bölgelerdeki ATM’lerden kaçının; banka ekstrelerinizi yakından takip edin; kartınızın manyetik şeridini çekmek yerine kartın yerleşik çip teknolojisini kullanın.
Ancak giderek daha becerikli suçlular, kurbanlarını kandırmanın yollarını bulmaktan geri kalmıyorlar. Schober’in kendi kartı da birkaç yıl önce kopyalandıktan sonra, yetkililerin suçlulara karşı oyunu tersine çevirmesine yardımcı olabilecek yollar üzerinde beyin fırtınası yapmaya başladı.
BVS, ekibiyle birlikte çalışarak, yakıt pompasına veya ATM kart yuvasına yerleştirilebilen, bir dolandırıcının varlığını tarayan ve anında kullanıcının makinesinin tehlikeye girip girmediğini bildirmek için kırmızı veya yeşil ışık gösteren ince bir cihaz olan Skim Scan’i geliştirdi.
Schober, 430 dolarlık cihazı binlerce adet satın aldıklarını ve “ürettiğimiz kadar hızlı bir şekilde gönderiyoruz” dediklerini, bunun yetkililer ve işletme sahipleri için bir aydınlanma olduğunu ve bunların yıllarca tehlike altında olduğunu fark ettiklerinde şaşkınlığa uğradıklarını söyledi.
Schober, küçük bir aile işletmesi olan benzin istasyonunun sahibinin 12 benzin pompasını kontrol ettiğini ve herkesin bir kart kopyalama cihazı olduğunu gördüğünü hatırlıyor. Bu da müşterilerinin “kartlarının her gün, muhtemelen yaklaşık iki yıl boyunca kopyalandığı” anlamına geliyor.
Ürünün başarısı, Schober’in ekibini, ince yapılı kart kopyalama cihazları takarak cihazlara ikinci bir manyetik okuma başlığı takan suçluların sıklıkla hedef aldığı satış noktası terminallerindeki manyetik şeritli okuyuculara bu tekniği nasıl uyarlayacaklarını düşünmeye yöneltti.
Kartınızı çekmek gerçekten güvenli mi?
Birçok banka, müşterilerini şifreli veri çiplerine sahip kartlar kullanmaya teşvik ederek kart kopyalama kayıplarını azaltmaya çalışırken, becerikli suçlular bunun etrafından dolanmanın birçok yolunu buldular. Bir cihazın çip yeteneklerinin bozuk olduğunu belirten basit işaretler koymaktan, POS makinesinin çip okuyucusuna fiziksel olarak küçük bir delik açarak onu devre dışı bırakmaya kadar birçok yol buldular.
Schober, suçluların tüm alternatif ödeme seçeneklerini devre dışı bıraktığında, dikkatli müşterilerin bile hazırlıksız yakalanabileceğini söyledi.
Suçlular bunu “genellikle aciliyet duygusu olduğunda, sosyal mühendislik tekniklerini kullanarak” yaparlar, diye açıkladı. “Çocuklarınız arabada ağlıyor ve köpek havlıyor diye o sosisli sandviç ve sodayı istersiniz ve para aramak için arabaya geri dönmezsiniz.”
“Muhtemelen bir dolandırıcı olduğunu bile düşünmeyeceksiniz,” dedi ve kartınızı alıp çekeceksiniz. Bu her gün oluyor.”
BVS’nin son icadı Skim Swipe’ın bu yılın başlarında tanıtılmasından bu yana yoğun ilgi görmesi şaşırtıcı değil; yüzlerce adet satıldı ve suçlular tarafından istismar edilmekten artık kurtulabilecek bir silaha sahip olduğunu hisseden topluluktan güçlü geri bildirimler alındı.
“Kolluk kuvvetleri topluluğundan, perakende petrol endüstrisinden ve bankacılık endüstrisinden, dolandırıcılar bulduklarını söyleyen teşekkür çağrıları alıyoruz,” dedi. “Sorunu çözüyor olmanız ve siber suçluların bazılarına karşı zafer kazanmaya başlamamız iyi hissettiriyor.”
Magstripes, diğer ülkelerin çoğu hızla daha güvenli çipli ödemelere geçerken bile yaygınlığını sürdüren, özellikle Amerikan bir ödeme çözümüdür: Sektör rakamlarına göre, Haziran 2023’e kadar geçen yılda ABD ödemelerinin yalnızca %89,13’ü EMV çipli kartlar kullanılarak tamamlandı. Bu rakamlara göre çipli kart kullanımı Avrupa Bölgesi 1’de (%99,75); Avrupa Bölgesi 2’de (%95,18); Kanada, Latin Amerika ve Karayipler’de (%98,57) ve Afrika ve Orta Doğu’da (%99,42) çok daha yüksekti.
Dünya genelinde verilen kredi kartlarının yüzde 69,25’inde EMV özelliği bulunmasına rağmen, kart veren kuruluşlar bunu giderek artırıyor: Örneğin Mastercard, artık bankaların verdikleri kartlarda manyetik şerit bulundurma zorunluluğunu kaldırıyor ve bunu 2033 yılına kadar tamamen ortadan kaldırmayı planlıyor.
Ancak o zaman bile manyetik şeritli kartlar ABD’de ve diğer yerlerde hala yaygın olarak kullanılacak çünkü ATM ve diğer cihaz üreticileri milyonlarca makineyi manyetik şeritlere bağımlı olmayacak şekilde değiştirmenin veya değiştirmenin lojistiğini çözmeye çalışıyor.
O zamana kadar, kart kopyalamanın devam edeceği kesindir ve Skim Scan ve Skim Swipe gibi cihazların daha yaygın kullanımı, iyi niyetli satıcılara suç çetelerine karşı mücadele etme ve müşterilerini sömürüden koruma yolu sunacaktır.
Schober, “Umuyoruz ki kolluk kuvvetleri ve çeşitli kuruluşlarla çalışarak tüketiciyi koruyacaklar ve kimsenin makinesinin içine bir şey koymadığından emin olacaklar. Çünkü bir tüketicinin bunu fark etmesi zor olabilir.” dedi.
“Bu arada, kartınızı çekmek zorunda kalırsanız, durun ve dikkatli olun; çünkü kartınızda gerçekten bir kart kopyalama cihazı olma ihtimali çok yüksek.”
– David Braue Melbourne, Avustralya’da yaşayan ödüllü bir teknoloji yazarıdır.
Gitmek Burada David’in Cybercrime Magazine’deki tüm makalelerini okumak için.