Wie man Kreditkarten-Skimmer erkennt und vermeidet

Der Moment, in dem ich mir ernsthafte Sorgen über Kreditkarten- und Debitkarten-Skimmer machte, war nicht der, als mein gesamtes Bankkonto in die Türkei transferiert wurde oder ich aufgrund betrügerischer Anschuldigungen innerhalb von zwei Monaten dreimal eine Kreditkarte ersetzen musste. Als ich erfuhr, dass das Stehlen einer Kreditkartennummer so einfach ist, als würde man einen Magnetstreifenleser an einen Computer anschließen und ein Textverarbeitungsprogramm öffnen. Jeder Schlag spuckt die Kreditkartennummer aus, ohne dass zusätzliche Einstellungen erforderlich sind. Weiterentwickelte Geräte zum Diebstahl Ihrer Informationen werden von Kriminellen direkt an Geldautomaten und Kreditkartenlesern installiert. Diese werden Skimmer genannt, und wenn Sie vorsichtig sind, können Sie sich von diesen heimtückischen Geräten nicht zum Opfer fallen lassen.

Was sind Skimmer?

Skimmer sind im Wesentlichen böswillige Kartenleser, die an den realen Zahlungsterminals angebracht sind, damit sie Daten von jeder Person sammeln können, die ihre Karten klaut. Der Dieb muss oft zu dem kompromittierten Computer zurückkehren, um die Datei mit allen gestohlenen Daten abzurufen. Mit diesen Informationen kann er jedoch geklonte Karten erstellen oder einfach auf Bankkonten einziehen, um Geld zu stehlen. Vielleicht ist das Schrecklichste daran, dass Skimmer den Geldautomaten oder den Kreditkartenleser häufig nicht an der ordnungsgemäßen Funktion hindern, was die Erkennung erschwert.

Laut Stefan Tanase, einem Sicherheitsforscher bei Kaspersky Lab, sind klassische Skimming-Angriffe nicht mehr wegzudenken und werden wahrscheinlich auch nach der Umstellung der Banken auf EMV-Chipkarten weiterhin ein Problem sein. Selbst wenn die Karten einen Chip haben, befinden sich die Daten immer noch auf dem Magnetstreifen der Karte, um mit Systemen, die den Chip nicht verarbeiten können, abwärtskompatibel zu sein, teilte er uns mit. Selbst jetzt, noch lange nach der Einführung von EMV-Karten in den USA, verlangen einige Händler von den Kunden, dass sie den Magnetstreifen verwenden.

Der typische ATM-Abschäumer ist ein kleines Gerät, das über einen vorhandenen Kartenleser passt. Meistens platzieren die Angreifer auch eine versteckte Kamera in der Nähe, um persönliche Identifikationsnummern oder PINs für den Zugriff auf Konten aufzuzeichnen. Die Kamera kann sich im Kartenleser, oben am Geldautomaten oder sogar in der Decke befinden. Einige Kriminelle installieren gefälschte PIN-Pads über den tatsächlichen Tastaturen, um die PIN direkt zu erfassen, ohne dass eine Kamera erforderlich ist.

Das obige Bild ist ein realer Skimmer, der an einem Geldautomaten verwendet wird. Siehst du das seltsame, sperrige gelbe Stück? Das ist der Abschäumer. Dieser ist leicht zu erkennen, da er eine andere Farbe und ein anderes Material als der Zielcomputer hat, aber es gibt andere Hinweisschilder. Unterhalb des Steckplatzes, in den Sie Ihre Karte einsetzen, befinden sich im Kunststoffgehäuse des Geräts eingebettete Pfeile. Sie können sehen, wie sich die grauen Pfeile sehr nahe am gelben Gehäuse des Lesegeräts befinden und fast überlappen. Dies ist ein Zeichen, dass ein Abschäumer über dem vorhandenen installiert wurde, da der echte Kartenleser etwas Platz zwischen dem Kartenschlitz und den Pfeilen haben würde.

Von Skimmern zu Schimmern

Als die US-Banken den Rest der Welt endlich einholten und mit der Ausgabe von Chipkarten begannen, war dies ein großer Sicherheitsvorteil für die Verbraucher. Diese Chipkarten oder EMV-Karten bieten eine robustere Sicherheit als die schmerzhaft einfachen Magnetstreifen älterer Kreditkarten. Aber Diebe lernen schnell und hatten Jahre Zeit, um Angriffe auf Chipkarten in Europa und Kanada zu perfektionieren.

Anstelle von Skimmern, die auf den Magnetstreifenlesern sitzen, schimmert es in den Kartenlesern. Dies sind sehr, sehr dünne Geräte, die von außen nicht zu sehen sind. Wenn Sie Ihre Karte einschieben, liest der Schimmer die Daten vom Chip auf Ihrer Karte, ähnlich wie ein Skimmer die Daten auf dem Magnetstreifen Ihrer Karte liest.

Es gibt jedoch einige wesentliche Unterschiede. Zum einen bedeutet die integrierte Sicherheit, die mit EMV einhergeht, dass Angreifer nur die gleichen Informationen erhalten können, die sie von einem Abschäumer erhalten würden. Auf seinem Blog erklärt der Sicherheitsforscher Brian Krebs, dass "Daten, die von Schimmern gesammelt werden, nicht zur Herstellung einer Chip-basierten Karte verwendet werden können, sondern zum Klonen einer Magnetstreifenkarte. Obwohl die Daten normalerweise auf dem Magnetstreifen einer Karte gespeichert sind Wird der Chip auf Chip-fähigen Karten im Inneren des Chips nachgebildet, enthält der Chip zusätzliche Sicherheitskomponenten, die sich nicht auf einem Magnetstreifen befinden."

Das eigentliche Problem ist, dass Schimmer viel schwerer zu erkennen sind, weil sie sich in Geldautomaten oder Verkaufsautomaten befinden. Der unten abgebildete Schimmer wurde in Kanada gefunden und dem RCMP gemeldet. Es ist kaum mehr als eine integrierte Schaltung, die auf eine dünne Plastikfolie gedruckt ist. Wenn die Besitzer des kompromittierten Geräts nicht vorsichtig gewesen wären, hätte dies möglicherweise die Informationen aller Benutzer gestohlen.

Geldautomatenhersteller haben diese Art von Betrug nicht im Stich gelassen. Neuere Geldautomaten verfügen über robuste Manipulationsschutzvorrichtungen, die manchmal auch Radarsysteme umfassen, mit denen am Geldautomaten eingeführte oder angebrachte Objekte erkannt werden sollen. Ein Forscher der Black Hat-Sicherheitskonferenz konnte jedoch das integrierte Radargerät eines Geldautomaten verwenden, um im Rahmen eines aufwändigen Betrugs PINs zu erfassen.

Die Bedrohungen sind real und entwickeln sich weiter. Aus diesem Grund ist es so wichtig, dass Sie jedem Geldautomaten oder Kreditkartenleser einen kurzen Scheck geben, bevor Sie ihn verwenden.

Überprüfen Sie, ob Manipulationen vorgenommen wurden

Wenn Sie sich einem Geldautomaten nähern, überprüfen Sie die Oberseite des Geldautomaten in der Nähe der Lautsprecher, der Seite des Bildschirms, des Kartenlesers selbst und der Tastatur auf offensichtliche Manipulationsspuren. Wenn etwas anders aussieht, z. B. eine andere Farbe oder ein anderes Material, Grafiken, die nicht richtig ausgerichtet sind, oder etwas anderes, das nicht richtig aussieht, verwenden Sie diesen Geldautomaten nicht. Gleiches gilt für Kreditkartenleser an der Kasse oder an Tankstellen.

Wenn Sie bei der Bank sind, ist es eine gute Idee, schnell einen Blick auf den Geldautomaten neben Ihrem zu werfen und diese zu vergleichen. Wenn es offensichtliche Unterschiede gibt, verwenden Sie keinen und melden Sie die verdächtigen Manipulationen Ihrer Bank. Wenn zum Beispiel ein Geldautomat einen blinkenden Karteneintrag hat, um anzuzeigen, wo Sie die Geldautomatenkarte einsetzen sollen, und der andere Geldautomat einen normalen Leseschlitz hat, wissen Sie, dass etwas nicht stimmt. Die meisten Skimmer sind auf den vorhandenen Reader geklebt und verdecken die blinkende Anzeige.

Wenn sich die Tastatur nicht richtig anfühlt - vielleicht zu dick -, ist möglicherweise eine Überlagerung mit PIN-Code vorhanden. Verwenden Sie sie daher nicht.

Alles wackeln

Auch wenn Sie keine visuellen Unterschiede sehen können, drücken Sie auf alles, sagte Tanase. Geldautomaten sind solide gebaut und haben in der Regel keine losen Teile. Kreditkartenleser haben mehr Variationsmöglichkeiten, aber dennoch: An hervorstehenden Teilen wie dem Kartenleser ziehen. Überprüfen Sie, ob die Tastatur sicher und nur einteilig befestigt ist. Bewegt sich etwas, wenn Sie darauf drücken?

Skimmer lesen den Magnetstreifen, während die Karte eingelegt wird, also wackeln Sie beim Einlegen ein wenig mit der Karte, riet Tanase. Der Leser benötigt den Streifen, um in einer einzigen Bewegung voranzukommen. Wenn er nicht gerade ist, kann er die Daten nicht richtig lesen. Wenn der Geldautomat der Typ ist, an dem er die Karte entgegennimmt und am Ende der Transaktion zurückgibt, befindet sich der Leser im Inneren. Das Wackeln der Karte, während Sie sie in den Schlitz eingeben, beeinträchtigt nicht Ihre Transaktion, sondern vereitelt den Abschäumer.

Diese Taktik funktioniert nicht mit Schimmern und auch nicht mit Geldautomaten, die Ihre Karte erfassen und halten, während Ihre Transaktion ausgeführt wird. Es gibt jedoch immer noch Möglichkeiten, sich bei der Verwendung dieser Maschinen zu schützen.

Denken Sie über Ihre Schritte nach

Wenn Sie die PIN Ihrer Debitkarte eingeben, gehen Sie davon aus, dass jemand auf der Suche ist. Vielleicht ist es über die Schulter oder durch eine versteckte Kamera. Bedecke die Tastatur mit deiner Hand, wenn du deine PIN eingibst, sagte Tanase. Das ist eine gute Politik, auch wenn Sie an dem Geldautomaten nichts Seltsames bemerken. Der Erhalt der PIN ist unerlässlich, da die Kriminellen die gestohlenen Magnetstreifendaten ohne sie nicht verwenden können, erklärte Tanase. Dies setzt natürlich voraus, dass der Angreifer eine Kamera und kein Overlay verwendet, um Ihre PIN zu erhalten.

Kriminelle installieren Skimmer häufig an Geldautomaten, die sich nicht an überlasteten Orten befinden, da sie nicht beobachtet werden möchten, wie sie schädliche Hardware installieren oder die geernteten Daten sammeln. Die Geldautomaten in Banken sind wegen all der Kameras im Allgemeinen sicherer, obwohl es einigen mutigen Kriminellen immer noch gelingt, sie dort zu installieren. Der Geldautomat in einem Lebensmittelgeschäft oder Restaurant ist im Allgemeinen sicherer als der Geldautomat draußen auf dem Bürgersteig. Halten Sie an und prüfen Sie die Sicherheit des Geldautomaten, bevor Sie ihn verwenden.

Trotzdem ist kein Ort vor einem unternehmungslustigen Verbrecher sicher. Nehmen Sie zum Beispiel dieses Video. Der Dieb installiert in Sekundenschnelle einen Abschäumer an der Verkaufseinheit in einem Lebensmittelgeschäft.

Die Wahrscheinlichkeit, von einem Skimmer getroffen zu werden, ist am Wochenende höher als unter der Woche, da es für Kunden schwieriger ist, die verdächtigen Geldautomaten der Bank zu melden. Kriminelle installieren normalerweise samstags oder sonntags Skimmer und entfernen diese, bevor die Banken am Montag wieder öffnen.

Verwenden Sie nach Möglichkeit nicht den Magnetstreifen Ihrer Karte, um die Transaktion durchzuführen. Fühlen Sie für Kreditkartenleser in Geschäften unter dem PIN-Pad nach einem Steckplatz, in den Sie Ihre Karte und den zu lesenden EMV-Chip einführen können. Wenn Sie Ihren EMV-Chip verwenden, ist die Karte auf dem Gerät autorisiert und Ihre persönlichen Daten werden niemals übertragen. Dies zwingt Kriminelle, das Innenleben von EMV-fähigen Lesern anzugreifen. Während es möglich ist, EMV-Lesegeräte zu knacken, ist es viel schwieriger als Magnetstreifen-Skimming.

Wenn das Kreditkartenterminal NFC-Transaktionen akzeptiert, können Sie Apple Pay, Samsung Pay oder Android Pay verwenden. Diese Dienste kennzeichnen Ihre Kreditkarteninformationen, sodass Ihre persönlichen Informationen niemals offengelegt werden. Wenn ein Krimineller die Informationen abfängt, erhält er nur eine unbrauchbare virtuelle Kreditkartennummer. Beachten Sie, dass Samsung Pay auf bestimmten Geräten eine Magnetstreifentransaktion emulieren kann, wenn Sie Ihr Telefon über den Kartenleser halten. Dies ist viel sicherer als die Verwendung Ihrer Kreditkarte.

Ein Szenario, das häufig die Verwendung Ihres Magnetstreifens erfordert, ist das Bezahlen von Kraftstoff an einer Gaspumpe. Diese Angriffe sind weit verbreitet, da viele EMV- oder NFC-Übertragungen noch nicht unterstützen und Angreifer unbemerkt auf die Pumpen zugreifen können. Es ist viel sicherer, hineinzugehen und die Kasse zu bezahlen. Wenn kein Kassierer im Dienst ist, befolgen Sie die gleichen Tipps zur Verwendung von Geldautomaten und untersuchen Sie den Kartenleser, bevor Sie ihn verwenden.

Digitale Angriffe und Lösungen

Der kürzliche Hack von British Airways führte ein neues Konzept ein: den digitalen Kartenabschäumer. Anstelle eines physischen Geräts zur Erfassung Ihrer Karteninformationen oder einer gefälschten Phishing-Website, die Sie zur Eingabe Ihrer Daten verleitet, wird bei einem digitalen Abschäumer bösartige Software in eine legitime Website eingefügt.

Die Bekämpfung dieser Art von Angriffen liegt letztendlich in der Verantwortung der Unternehmen, die Sicherheit ihrer Websites und Dienste zu gewährleisten. Aber es gibt ein paar Dinge, die Verbraucher tun können, um sich selbst zu schützen. Eine Möglichkeit ist die Verwendung virtueller Kreditkarten. Dies sind Scheinkreditkartennummern, die mit Ihrem echten Kreditkartenkonto verknüpft sind. Wenn einer kompromittiert ist, müssen Sie keine neue Kreditkarte erhalten, sondern nur eine neue virtuelle Nummer generieren. Einige Banken, wie Citi, bieten diese Funktion an, fragen Sie also Ihre, ob sie verfügbar ist.

Wenn Sie keine virtuelle Karte von einer Bank erhalten können, bietet Abine Blur Abonnenten maskierte Kreditkarten an. Dies sind Prepaid-Kreditkarten, die Sie im Handumdrehen erstellen und für Online-Einkäufe verwenden können. Abine liefert sogar einen gefälschten Namen und eine Rechnungsadresse, um Ihre persönlichen Daten zu verschleiern. Wenn einer davon aufgedeckt wird, verlieren Sie weder Geld noch private Informationen.

Eine weitere Option ist die Registrierung für Kartenbenachrichtigungen. Ally Bank sendet beispielsweise jedes Mal eine Push-Benachrichtigung an Ihr Telefon, wenn Ihre Debitkarte verwendet wird. Dies ist praktisch, da Sie gefälschte Einkäufe sofort erkennen können. Wenn Ihre Bank eine ähnliche Option anbietet, schalten Sie sie ein.

Bleiben Sie wachsam

Wenn Sie keinen Kartenskimmer bemerken und Ihre Kartendaten gestohlen werden, machen Sie sich Sorgen. Solange Sie den Diebstahl so bald wie möglich Ihrem Kartenaussteller (für Kreditkarten) oder Ihrer Bank (wo Sie Ihr Konto haben) melden, haften Sie nicht für den verlorenen Betrag und Ihr Geld wird zurückerstattet. Geschäftskunden hingegen haben nicht den gleichen rechtlichen Schutz und haben es möglicherweise schwerer, ihr Geld zurückzubekommen.

Versuchen Sie außerdem, wann immer möglich, eine Kreditkarte zu verwenden. Bei einer Lastschrifttransaktion handelt es sich um eine sofortige Überweisung. Die Bearbeitung eines FDIC-Antrags kann Wochen dauern. Kreditkartentransaktionen können jederzeit gestoppt und rückgängig gemacht werden. Dies setzt die Händler unter Druck, ihre Geldautomaten und Kassenterminals besser abzusichern.

Die rechtzeitige Meldung von Betrugsfällen ist sehr wichtig. Behalten Sie daher Ihre Debit- und Kreditkartentransaktionen im Auge. Mit persönlichen Finanz-Apps wie Mint.com können Sie all Ihre Transaktionen einfacher sortieren.

• Abine Unschärfe Premium Abine Unschärfe Premium
• Feds warnen vor 'Jackpotting'-ATM-Hacks in den USA Feds warnen vor' Jackpotting'-ATM-Hacks in den USA
• Beobachten Sie, wie ein Kartenabschäumer in Sekundenschnelle installiert wird Beobachten Sie, wie ein Kartenabschäumer in Sekundenschnelle installiert wird

Schließlich achten Sie auf Ihr Telefon. Banken und Kreditkartenunternehmen verfügen im Allgemeinen über sehr aktive Richtlinien zur Aufdeckung von Betrug und werden sich umgehend, normalerweise per Telefon oder SMS, an Sie wenden, wenn sie etwas Verdächtiges bemerken. Schnelles Reagieren kann bedeuten, dass Angriffe abgebrochen werden, bevor sie sich auf Sie auswirken. Halten Sie Ihr Telefon also griffbereit.

Denken Sie daran: Wenn etwas an einem Geldautomaten oder einem Kreditkartenleser nicht in Ordnung ist, verwenden Sie es einfach nicht. Wann immer Sie können, verwenden Sie den Chip anstelle des Streifens auf Ihrer Karte. Ihr Bankkonto wird es Ihnen danken.