セルフチェックアウト・スキマーはBluetoothを利用

このブログでは、食料雑貨店や他の小売業者のセルフチェックアウトレーンにあるクレジットカード端末の上に配置されるように設計されたペイメントカードスキミングデバイスに関するいくつかの話を紹介しました。

多くの読者は、これらのいわゆる「オーバレイ」スキマーに電力を供給するエレクトロニクスの詳細について質問してきました。 ここでは、Bluetooth技術を搭載したオーバーレイスキマーの一例を紹介します。これにより、窃盗者はスワイプ(スワイプ:スライドして読み取る)したカードデータとPINを携帯電話ではなく、無線(Bluetooth)で盗むことができます。

下のやや粗いビデオは、Ingenico iSC250クレジットカード端末の上を直接滑り落ちるように作られたBluetooth対応オーバーレイスキマーを示しています。 これらのIngenico端末は、米国を拠点とする数多くの商人で広く使用されています。 今年初め、私はいくつかのWalMartの場所でセルフチェックアウトレーンで発見されたIngenicoオーバーレイスキマーについて書きました。

デモビデオには、単純にオーバーレイスキマーの裏側に隠された電子部品が映っていますが、この販促ビデオのほとんどは、デバイスに組み込まれているBluetooth機能を示しています。 ビデオはスキマー販売者が自分のスマートフォンでスキマーに埋め込まれたBluetooth通信端末に接続することを示しているようです。 このデモンストレーションでは、PINパッドの押下とカードスワイプのデータを傍受するスマートフォンが引き続き表示されます。

基本的なBluetooth信号は約100メートル(328フィート)の範囲を持っているため、店舗のセルフチェックアウトレーンのカードターミナルの上にこれらのデバイスの1つを置く理論的にスキマーの詐欺師は、 カードデータをリアルタイムで無線で吸い取ります。 しかし、そのような連続的な通信は、スキマーの内蔵バッテリーに過度の負担をかける可能性があるので、スキマーが新しいバッテリーを必要としないよう、カードとPINデータを収集できる時間を劇的に短縮しています。

むしろ、そのようなスキマー詐欺は、盗まれたPINおよびカードデータを一旦装置の中に格納し、そのカードスキマーが通信できる電波の範囲内に隠れて、格納されたカードデータを送信するよう指示を出す可能性が高い。

あなたのお気に入りの店のIngenico端末がこれらのオーバレイスキマーの1つによって危険にさらされているかどうか心配ですか? あなたが何を探すべきか分かっていれば、オーバレイスキマーで改造された支払い端末は、かなりの分かりやすい特徴を持っています。 私のチュートリアル “Ingenicoセルフチェックアウトスキマーの発見方法”を調べることで、識別方法を学ぶことができます。

参照:

https://krebsonsecurity.com/2016/10/self-checkout-skimmers-go-bluetooth/