POSスキマー(クレジットカードの不正読取装置)により、お店のレジでカードデータが盗まれる

Michaels Storesは、今月、顧客の支払いカードデータと暗証番号を吸い取ることができるPOS(point of sale)技術を泥棒が何らかの形で変更したり、交換したことを発見した後、全国の店舗登録簿から7,200以上のクレジットカード端末を置き換えたと発表した。 犯罪侵入者が使用した特定の装置は公開されていません。 しかし、驚くほど一般的な詐欺を促進するために、多くの機器やサービスが犯罪地下で売られています。

POSスキマーは、通常、以下の3つの方法のいずれかで販売され、販売されています。現金レジスターに設置できるプリ・エクスポージャーPOS端末。 トランザクションを処理しないが、スワイプされたカードおよびPINエントリからのデータを記録するように設計された偽のPOSデバイス。 既存のPOS端末を変更するために必要なすべての部品、配線および指示を含むDo-it-yourselfキット。

私はPOSスキマーの売り手に長らく話していましたが、これは1年以上にわたり独占的な地下詐欺のフォーラムでPOS改造装置を売っていました。 彼のプロフィールに残ったフィードバックから、彼は多くの満足した顧客を持っていたことは明らかです。 バイヤーは、不正改造したいPOS機器のメーカーとモデルを指定します(このメーカーはVeriFone機器のハッキングに特化していますが、POSメーカーのIngenico、Xyrun、TechTrexで製造された機器のキットも宣伝しています)。

彼のスキマーキットには、PINパッドスキマーと2つの小型回路ボードが含まれています。 1つは、実際のカードリーダーとやりとりして、腐敗したデータを保存するように設計された特殊なソフトウェアを備えたプログラマブルボードです。 もう1つはBluetooth対応のボードで、盗難者は盗難されたカードのデータをラップトップやスマートフォンを使ってワイヤレスでダウンロードすることができます。

PINパッドスキマーは、元のシリコンPINパッドの下に挿入される超薄型膜です。 これは、押されたすべてのボタンに日付とタイムスタンプを記録します。 泥棒は、2つの基板を既存のPINパッドデバイスにはんだ付けして、マシンの電源およびデータ処理ストリームを乗っ取る必要があります。

多くのPOS製造業者は、耐タンパーシールや、POSの本来の機能と形状を維持し、泥棒が機械を改造するのを困難にするように設計された他のセキュリティ装置を備えています。 ほとんどのPOSスキマーメーカーは、これらの保護をバイパスするための手順を提供しています。

ここに示されているモデルは、スキマーデバイス、ソフトウェア、チュートリアルなど、3,000ドルで販売されています。 10個以上のキットを購入するお客様は、1個につき約2,000ドルで入手できます。

POSスキマー泥棒は、盗難データを使って偽造カードを作成し、犠牲者のPINと組み合わせてATMから現金を引き出すことができます。 私がインタビューした一部のPOSスキマー販売者は、スキマーを「借りる」ことができるサービスを販売しています。 ATMの「キャッシュアウト」プロセスを処理して、窃盗からの収入の一定割合を処理する人もいます。

POSスキマーは、デビットカードがクレジットカードよりも使用するリスクが高いことを示すもう一つの覚え書きとなります。

KrebsOnSecurityの定期的な読者とコメント投稿者は、こう述べています。

「クレジットカードを使用することは、銀行口座を不正な侵入から保護したい消費者にとって安全です。 消費者保護法は、デビットカードよりもクレジットカードの方がはるかに強力です。 クレジットカードでの不正な取引は、報告して元に戻すのが簡単です。 デビットカードの[現金からの]不正な引き出しを解決するには、多くの時間と紙の作業が必要です。 多くの銀行は、不正な引き出しを調査する前に、警察の報告書を提出する必要があります。

見たことがありますか?

連邦検察官は、ハイテク3Dプリンタの助けを借りて造られたスキミング装置を使用して、40万ドル以上を奪ったATMスキマーのギャングが、 明らかに、サイバー犯罪の地下世界では、3Dプリンタが正確な精度で完璧なスキマーデバイスを生産するという言葉が広がっています。 6月、連邦裁判所は、テキサス州サウステキサス州からの4人の男性(PDF)が、3Dプリンターを買うために詐欺から脱却した利益を再投資したと告げた。

参照:

https://krebsonsecurity.com/2011/05/point-of-sale-skimmers-robbed-at-the-register/