1
Gas Pump Skimming
Magnetic Stripe Card Skimming
CsCyb23004 – Βασιλειάδης Δημήτριος
2
Transaction Change
• Πιστωτικές / Χρεωστικές κάρτες
«πλαστικό χρήμα»
• Αλλαγές Τρόπου / Χρόνου
εκτέλεσης συναλλαγών
• Ανάγκη παρακολούθησης
συναλλαγών
• Αντιμετώπιση περιστατικών
απάτης
3
Credit/Debit
Card Skimming
Που συμβαίνουν οι απάτες;
• E-skimming
• Hand-held POS skimming
• POS Swap
• Dummy ATMs
• Self-service (Gas Pumps)
4
Κόστος της απάτης
• Πάνω από $11 δις / έτος στις ΗΠΑ
• 25% των Αμερικανών θύματα
αντιγραφής το 2018
• 15% των Αμερικανών θύματα Gas
Pump Skimming
• $5.000.000 (56 μήνες φυλάκιση)
(2018)
• 6/2018 ως 7/2022
8.229 κλεμμένες κάρτες από 4
άτομα
• 72 μηχανήματα σε 1 μέρα
Πρόστιμα / Ποινές (ΗΠΑ 2019)
Πρόστιμο
$7.250.000
Ποινή (έτη)
187
$6.000.000
$750.000
177
65
$6.000.000
$4.250.000
$2.050.000
155
93
79
$3.000.000
71
5
Πιστωτική / Χρεωστική
κάρτα
• Εργαλείο
• Αντικαθιστά μετρητά, επιταγές
• Διαφορετικά φυσικά
χαρακτηριστικά, τρόπος
έκδοσης, χρέωσης
• Ίδιες Ευπάθειες
Specifications
ISO/IEC 7810-7813
• Μέγεθος
• Εκτύπωση
• Τεχνικές/πυκνότητα εγγραφής
• Μορφή των δεδομένων
• Κωδικοποίηση δεδομένων
6
Data Bits Encoding
ISO/IEC 7811 – Διφασική Κωδικοποίηση Aiken
7
Track 1,2,3
Ζώνη 1
• 210bit/inch
• 7bit ASCII (ITU-T.50)
Όνομα κατόχου
Ζώνη 2 (Τραπεζικός κλάδος)
•
•
•
75bit/inch
40 χαρακτήρες (στοιχεία της κάρτας)
5bit ASCII
(ISO 7811 Modified 5-bit ASCII)
Ζώνη 3
ISO/IEC 7811 – Διφασική Κωδικοποίηση Aiken
•
•
•
•
210bit/inch
5bit ASCII (ISO/IEC 4909)
7bit ASCII (ISO/IEC 7811)
107 αριθμητικοί χαρακτήρες
8
Track 2 Structure
9
Στήσιμο της
απάτης
• Αρχικό μεγάλο μέγεθος
▪ (περίπου βιβλίο)
▪ Ανάγκη παροχής ρεύματος
• Μικρές φορητές συσκευές
(1999)
▪ Πλακέτες
▪ Μπαταρία
• Αντιγραφή και μετάδοση off-line /on-line
• Πώληση στοιχείων στο dark web
• Ξέπλυμα χρήματος με αγορές
10
Προστασία από την απάτη
Νομοθεσία
Επιβολή νομοθετικών μέτρων για ενέργειες που εξασφαλίζουν τη συναλλαγή και το αίσθημα της ασφάλειας.
Τράπεζες & Φορείς
εκμετάλλευσης του συστήματος
πληρωμών
Εισαγωγή Φυσικών Χαρακτηριστικών
γνησιότητας της κάρτας
Καταναλωτές
Επιχειρήσεις
Υποχρέωση μέριμνας για τυχόν
απάτες σε βάρος του.
Υποχρέωση ελέγχου της
γνησιότητας της κάρτας
11
Νομοθετικά
Μέτρα
• Χρήση ταινία ασφαλείας
(Florida)
• Εγκατάσταση συσκευών κατά
της αντιγραφής
• Εγκατάσταση κλειδαριών
• Εγκατάσταση συναγερμών
• Καθημερινές επιθεωρήσεις
• Συστήματα tap-and-go
12
Mέτρα καταναλωτών
• Έλεγχος και σύγκριση του μηχανήματος πληρωμής
• Έλεγχος για κάμερες / κινούμενα / αφαιρούμενα μέρη
• Χρήση άλλου μηχανήματος σε καλύτερα φωτιζόμενο χώρο/
κοντινότερα στο κατάστημα
• Χρήση άλλου μηχανήματος μέσα στο κατάστημα
• Να μην αφήνει την κάρτα από την προσοχή του
• Ενημέρωση της τράπεζας και παρακολούθηση των κινήσεων
• Ενεργοποίηση ειδοποιήσεων sms/email
• Χρήση άλλου τρόπου πληρωμής (μετρητά)
13
Mέτρα επιχειρήσεων
• Έλεγχος πως η κάρτα είναι υπογεγραμμένη
• Κάρτες με μαγνητική ταινία
• Κάρτες με chip και υπογραφή
• Έλεγχος και σύγκριση της υπογραφής στην κάρτα με κάποιο έγγραφο ταυτότητας (Ταυτότητα, διαβατήριο)
• Κάρτες με μαγνητική ταινία
• Κάρτες με chip και υπογραφή
• Εφόσον υπάρχει αμφιβολία, επικοινωνία με το Τραπεζικό κατάστημα για επιβεβαίωση δυνατότητας
εκτέλεσης της συναλλαγής
• Κάρτες με μαγνητική ταινία
• Κάρτες με chip και υπογραφή
• Μη αποθήκευση των στοιχείων της κάρτας για ετεροχρονισμένη / επόμενη χρέωση
• Να μην χρησιμοποιούν τη μαγνητική ταινία εφόσον υπάρχει η δυνατότητα χρήσης πιο ασφαλούς τρόπου
συναλλαγής
(EMV chip, ή εκτέλεση ασύρματης συναλλαγής, Apple Pay ή Google Pay).
14
Προληπτικά μέτρα τραπεζών, φορέων
εκμετάλλευσης του συστήματος
πληρωμών
Εισαγωγή φυσικών μοναδικών χαρακτηριστικών:
VISA
Mastercard
American Express
• Εκτύπωση των 4 πρώτων
ψηφίων όπως στο ανάγλυφο
• Ο αριθμός λογαριασμού
ξεκινάει με 5
• Ο αριθμός λογαριασμού
ξεκινάει με 37 ή 34.
• Ο αριθμός λογαριασμού
ξεκινάει με 4
• Υπάρχει ένα χαρακτηριστικό
ασφάλειας “MC” δίπλα στην
ημερομηνία λήξης
• Υπάρχει εκτύπωση με τα
γράμματα AMEX (ορατό κάτω
από υπεριώδες φως)
• Ειδική εκτύπωση με λογότυπο
της Visa (περιστέρι, ορατό κάτω
από υπεριώδες φως)
• Ο αριθμός λογαριασμού
εκτυπώνεται με αντίστροφη
πλάγια γραφή στο πλαίσιο
υπογραφής
• Υπάρχει εκτύπωση με ένα
μεγάλο “MC” (ορατό κάτω από
υπεριώδες φως)
15
Επόμενα μέτρα
Κάρτες με chip EMV
(smart cards)
(Europay-Mastercard-Visa)
•
•
Ασφάλεια συναλλαγών
Κρυπτογραφημένα δεδομένα
i.
ii.
Chip και υπογραφή
Chip και PIN
Κάρτες με chip EMV και RFID
(Chip και PIN)
•
•
Ασφάλεια συναλλαγών
Κρυπτογραφημένα δεδομένα
•
Ανέπαφες συναλλαγές
Άλλες τεχνολογίες (NFC)
•
•
•
Ασφάλεια συναλλαγών
Κρυπτογραφημένα δεδομένα
Ανέπαφες συναλλαγές
•
Ευελιξία απενεργοποίησης του token
και όχι της κάρτας
16
Ευχαριστώ για την προσοχή σας
CsCyb23004 – Δημήτρης Βασιλειάδης
Gas Pump Skimming
Magnetic Stripe Card Skimming