Jak podvodníci kopírují data z magnetických proužků vaší bankovní karty
Miniaturní čtečky na bankomatech dokážou během vteřiny zkopírovat data z vaší karty. Přestože banky investují miliony do ochrany, zločinci jsou vždy o krok napřed.
Stojíte u bankomatu, vkládáte kartu, zadáváte PIN. Rutina, kterou opakujete několikrát měsíčně, aniž byste se zamysleli nad tím, co se děje v tu chvíli uvnitř přístroje. Jenže právě v těch několika vteřinách může probíhat něco, o čem nemáte tušení – kopírování vašich citlivých dat.
Co přesně skimmer krade
Skimmer je miniaturní čtečka, která se tváří jako součást bankomatu. Útočníky zajímá především takzvaný Track 2 na magnetickém proužku vaší karty. Obsahuje číslo účtu, datum expirace a servisní kód určující možnosti použití karty. Některá sofistikovanější zařízení cílí i na Track 1, kde může být uloženo jméno držitele. Tyto datové bloky jsou strukturovány podle mezinárodních standardů ISO/IEC 7813, což paradoxně usnadňuje útočníkům jejich čtení a následnou replikaci na falešné karty.
Samotná data z karty by ale nestačila. K tomu potřebují zločinci ještě váš PIN. A tady se projevuje jejich vynalézavost. Falešné numerické klávesnice vypadají naprosto identicky jako originální – jsou to tenké membránové překryvy, které zaznamenají každý stisk a uloží ho do paměti nebo rovnou odešlou. Druhá varianta jsou miniaturní kamery o velikosti špendlíkové hlavičky, schované v rámečku čtečky nebo v držáku na letáky. Mají dokonalý výhled na vaše prsty.
Čipové karty měly být spásou
Když se před lety začaly rozšiřovat karty s čipem EMV, zdálo se, že je problém vyřešen. Čip generuje pro každou transakci unikátní kód, který nelze zkopírovat. Jenže realita je složitější. Skimmery sice technicky neobcházejí zabezpečení čipu, ale zneužívají takzvaný fallback mechanismus. Když terminál z nějakého důvodu nemůže přečíst čip – třeba kvůli úmyslně vyvolané chybě – přejde na zpracování pomocí magnetického proužku.
S globálním rozšířením EMV a přísnějšími pravidly se tato metoda stává obtížnější. Mnoho moderních terminálů automaticky odmítne transakci s magnetickým proužkem, pokud selže čipová transakce. Přesto existují regiony a starší systémy, kde zranitelnost přetrvává. A objevily se i sofistikovanější útoky jako shimming – do čtečky se vloží extra tenký čip, který umožní legální EMV transakci, ale zároveň diskrétně kopíruje data.
Jak se data dostávají k útočníkům
Ukradená data jsou jen částí rovnice. Skimmery využívají celou škálu přenosových protokolů. Nejčastěji jde o GSM/GPRS moduly, které odesílají data prostřednictvím SMS nebo přes FTP protokol přímo na server útočníků. Některá zařízení používají Bluetooth pro lokální stahování – pachatelé se musí nacházet v blízkosti bankomatu. Další generace se spoléhá na Wi-Fi. Je alarmující, že data uložená ve skimmeru často nejsou šifrovaná, což zjednodušuje jejich zpracování.
Externí skimmery jsou viditelné nástavce na hrdlo bankomatu nebo klávesnici. Jejich instalace je rychlá, ale ostražitý uživatel je může odhalit. Interní skimmery jsou skutečnými duchy – jsou nainstalovány uvnitř čtečky nebo hlouběji v útrobách přístroje. Pro běžného uživatele jsou neodhalitelné.
Jak se banky brání
Banky nasazují stále pokročilejší detekční metody. Bankomaty jsou vybaveny senzory, které nepřetržitě monitorují elektromagnetické spektrum v okolí čtečky. Jakýkoli neautorizovaný rádiový signál okamžitě spustí alarm. Používají se také rušičky, které aktivně generují rádiový šum a znemožňují skimmerům odesílat data. Některé anti-skimmingové moduly generují nepravidelné vibrace nebo magnetický šum, který má znesnadnit čtení magnetického proužku.
Klíčovou roli hrají aktualizace firmwaru. Zahrnují záplaty pro bezpečnostní zranitelnosti, vylepšené algoritmy pro detekci podvodů a nové profilovací vzorce pro neobvyklé chování transakcí. Je to nekonečná hra kočky s myší.
Když je skimmer nalezen, začíná forenzní práce. Zařízení se rozebere na jednotlivé komponenty, extrahují se data z paměťových čipů, provádí se reverzní inženýrství firmwaru. Zkoumají se i otisky prstů, DNA, zbytky lepidel nebo analýza pájení, která může odhalit výrobní techniky.
Co přinese budoucnost
Bezkontaktní platby využívají dynamické kryptogramy a nevyžadují fyzické vložení karty do čtečky. To drasticky snižuje možnost tradičního skimmingu. Tokenizace, která nahrazuje citlivá čísla karet jednorázovými tokeny, snižuje hodnotu ukradených dat téměř na nulu. Jenže zločinci se nikdy nevzdávají – objevují se nové hrozby jako digitální skimming na webových stránkách nebo relay útoky proti bezkontaktním kartám.
Dokud budou mít karty magnetický proužek a bankomaty je budou podporovat, budou existovat skulinky. Kontrolujte bankomat před použitím, zakrývejte si PIN a pravidelně sledujte výpisy z účtu. Není to paranoia – je to základní hygiena v době, kdy se technologie stává zbraní na obou stranách barikády.