セルフチェックアウトでIngenicoのカードスキマー(違法な読取装置)を見分ける方法

先月KrebsOnSecurityの記事では、いくつかのウォルマートの場所でセルフチェックアウトのレーンで見つかったクレジットカードスキマー(違法な読取装置)については、多くのメディアによって取り上げられました。 それ以来、私は店内で数十万のこれらのIngenicoクレジットカード端末を使用する小売業者で働く数人の読者から、同じことを知りたがっていることを聞いたことがあります。

セルフチェックアウトレーンのカードリーダーにカードスキマーが取り付けられたかどうかをどのように判断できますか?

このポストは、いくつかの指針を提供しています。

幸いなことに、Ingenico iSC250カード端末を使っているセルフチェックアウトレーンでカードスキマーを見つけ出す方法に関するチュートリアルを、POSメーカーであるIngenicoが発表しました。 残念ながら、私はまだこれらのデバイスを使用する小売店の読者から質問を受けているため、このレポートが広く配布されているようには見えませんでした。

上記の画像の赤い線は、実際のiSC250と比較して左側のケースオーバーレイのさまざまな目立つ領域のサイズの違いを示しています。 出典:Ingenico

KrebsOnSecurityが取得した2016年5月16日のセキュリティ情報では、「POS端末の上にオーバーレイが収まるようにするには、ターゲットデバイスよりも長くて広い必要があります。 このため、ケースオーバーレイは実際のPOS端末よりもはるかに大きく表示されます。 これはスキミング装置の主要な識別特性である。 iSC250のスキマーオーバーレイは、幅6インチ以上、高さ7インチ以上で、iSC250自体の幅は5 9/16インチ、高さは6 1/2インチです。

さらに、盗人がIngenicoセルフチェックアウトカードリーダーの上に秒速で取り付けることができるスキミング装置は、バックライトが偽のPINパッドオーバーレイ(テンキーのうえのかぶせ物)を通って来ないため、暗くなってしまいます。

上の2つの写真において、左が正常なもの。右の写真は、正常なカード読取装置に不正な読取装置を上からかぶせているため、テンキーが暗くなっている。

さらに、スキミングオーバレイデバイス(不正読取装置;正常な装置に上から被せる器具)は現在、Apple Payのような非接触カードの読み取り中に点灯する緑のLEDライトをブロックします。

ここに描かれているオーバレイスキミングデバイスには、ユーザーがカードをスライドしたときに磁気ストライプからカードデータを取得するための小さな磁気読取りヘッドが含まれています。 その結果、これらの小さな読者はしばしば下位のデバイスの正当な磁気カードリーダーに干渉します。これは、違法改造されたカードリーダーがあるセルフチェックアウトのラインが他のものより少し遅く動く可能性があることを意味します。

「オーバレイデザインは、磁気ストライプの読み取りを妨げることがあり、読み取りの失敗回数が増えることがあります」とIngenicoは書いています。

最後に、すべてのチェックアウト端末には、顧客がカードをスワイプした後に自分の名前に署名するために使用する係留スタイラスが含まれています。 Ingenicoによると、iSC250に合うように作られたスキマーは、スキマーオーバレイの突出したオーバーハングに起因するスタイラスの通常の配置を妨げるように見えます。

オーバーレイスキマー(被せる違法読取装置)は、右の写真のようなスタイラス(ペンのようなもの)を置く場所に干渉していて、スタイラスを普通に置くことができない。

このようなオンライン情報を見ることで、スキマー製造密売グループは自分の製品を改善し、その外見をより分かりにくくすることができでしょう。

しかし、そのグループは、これらのオーバレイスキマーのコストを大幅に上昇させることなく、やっていくしかないでしょう。

すでに、iSC250スキマーは数百ドルで小売しています。これは、カード・データを収集して保管するために必要なエレクトロニクスがなくても可能です。

ただし、この価格が少しでも上昇する場合は、違法なスキマーを購入する詐欺師たちの前払い費用となる一方で、このデバイスが発見される前にスキマーの費用を回収できる保証がないため、重要です。

参照:

https://krebsonsecurity.com/2016/06/how-to-spot-ingenico-self-checkout-skimmers/