Rreziku nga krimi kibernetik

27/11/2016 8:04 AM 0 komente

Mendoni se jeni të sigurt sa herë që tërhiqni para në një automat?! Kujdes! Disa këshilla të thjeshta si të ruani që karta juaj të mos klonohet dhe paratë tuaja të mos vidhen…

Krimi kibernetik tenton të jetë gjithmonë një hap përpara teknologjisë që shfrytëzohet për pagesat online, tërheqjet cash apo pagesat në pikat e shitjeve. Ndërkohë që siguria e pagesave online dhe ato në pikat e shitjeve janë një temë shumë e gjerë që kërkon hapësirën e vet të diskutimit, në këtë artikull po trajtojmë vetëm sigurinë fizike të ATM-ve dhe ruajtjen nga metodat e vjedhjes së informacionit të kartave të klientëve dhe kodit PIN.
Sipas të dhënave të Skuadrës Europiane për Sigurinë ATM (EAST) botuar në IBS Intelligence, sulmet me eksploziv ndaj ATM-ve në rajonin e Europës janë rritur me 80% në gjashtëmujorin e parë të 2016 krahasuar me të njëjtën periudhë të vitit 2015. Janë raportuar rreth 492 raste sulmesh të tilla krahasuar me 273 në vitin 2015. Ndërkohë që shumica e rasteve kanë qenë sulme në gaz eksploziv, në 110 raste shpërthimi është shkaktuar nga eksploziv i ngurtë.
Në foton më poshtë, dallohet dëmi i shkaktuar në ATM nga eksplozivi i gaztë.

krimi kinerbetik 1_opt

Megjithatë, sulmet me eksploziv apo ato fizike ndaj ATM-ve janë vetëm një pjesë e sulmeve që shkaktojnë humbje si për Bankat, ashtu edhe për klientët. Sulmet “e heshtura” përmes “skimming” (vjedhjes së të dhënave të kartës dhe PIN) janë ato më të përhapurat dhe shkaktojnë impakt financiar, por edhe induktojnë një ndjesi frike dhe mosbesimi te klientët në lidhje me shfrytëzimin e kartave, ATM-ve dhe POS.
Si mund të dallohet një ATM në të cilin janë vendosur “skimming devices”?
Për një klient të zakonshëm nuk është e lehtë të dallojë ndryshimet në pamjen e komponentëve të ATM-së. Duke konsideruar faktin që ATM-të në tregun shqiptar dhe atë ndërkombëtar janë të markave të ndryshme dhe të versioneve të ndryshme, për klientët është disi e vështirë të konstatojnë ndryshimet që mund të pësojë një ATM kur në të vendosen pajisjet përgjuese (skimming devices). Këto të fundit janë gjithmonë e më tepër pothuajse të padallueshme nga pjesët origjinale të vetë ATM-së.
Më poshtë, shembuj të vendosjes së pajisjeve të përgjimit:

krimi kinerbetik 2_opt

krimi kinerbetik 3_optTastiera përgjuese që mbivendoset në tastierën e ATM-së nuk ka pothuaj asnjë ndryshim me këtë të fundit. Ajo mbledh të dhënat e PIN-eve të kartave të klientëve dhe ia transmeton ato keqbërësit. Vetëm stafi i kualifikuar, që njeh ATM-në, mund të vërë re ndryshimet e menjëhershme në komponentët e saj.
Një tjetër komponent që mund të mbivendoset si një pajisje përgjuese është lexuesi i kartës (card reader). Më poshtë, foto të një ATM-je me pajisje përgjuese në lexuesin e kartës.

Për një staf të kualifikuar nuk është e vështirë të dallohet ndryshimi i dritës që shkakton mbivendosja e pajisjes përgjuese në lexuesin e kartës dhe ndryshimi në mënyrën se si lexuesi tërheq kartën në fole.

Si funksionon përgjimi?

Lexuesi deshifron të dhënat e shkruara në shiritin magnetik (magnetic stripe) të kartës dhe ia transmeton ato keqbërësit me anë të një sinjali GPRS apo duke i ruajtur në një cip të inkorporuar në pajisjen përgjegjëse, që më pas keqbërësi i tërheq bashkë me pajisjen, duke humbur kështu edhe gjurmët e këtij procesi.
Një kombinim i të dhënave të grumbulluara nga lexuesi i kartës me ato të tastierës përgjuese të ATM-së, i japin keqbërësit informacion të mjaftueshëm për prodhimin e kartave “klon”, të cilat mund të përdoren më pas në çdo ATM apo pikë shitje (POS apo online) njësoj sikur në përdorim të tyre të ishte vetë klienti.
Më poshtë, një ilustrim i procesit:

krimi kinerbetik 4_opt

Ndodh shpesh që në vend të zëvendësimit të tastierës, keqbërësit vendosin kamera në ATM për të regjistruar kodin PIN sa herë që një përdorues kryen një veprim në ATM.

Më poshtë, prototipi i një kamere regjistruese me figurë dhe zë e përdorur nga keqbërësit, për të regjistruar kodet PIN të klientëve në një ATM të “Bank of America”. Kamera furnizohet me bateri, ka një kartë memorie e cila mund të regjistrojë imazhe ose video për një kohë relativisht të gjatë e më pas të zëvendësohet me një kartë tjetër për të zgjatur kohën e regjistrimit.

krimi kinerbetik 5_opt

Kamera është vendosur në një kuti mbajtëse në ngjyrën e veshjes së pjesës së jashtme të ATM-së, duke u bërë pothuaj e padukshme për një sy të pastërvitur.

krimi kinerbetik 6_opt

Në foton në të majtë, ATM-ja nuk ka pajisje përgjuese, ndërsa në foton në të djathtë, vini re kamerën e montuar në pjesën e sipërme në të majtë të ATM-së.

krimi kinerbetik 7_opt

Një nga pamjet e marra nga kamera e montuar në të majtë të ATM-së.

Si të mbrohemi nga këto pajisje përgjuese?

Mbrojtja e terminaleve ATM dhe mbrojtja e klientëve nga përgjimi i të dhënave fillon me masat që merr Banka për të parandaluar fenomene të tilla. Pozicionimi i ATM-ve në një ambient të mbrojtur, mbikëqyrja me kamerat e sigurisë dhe ndjekja e proceseve në ATM me kamera që regjistrojnë veprimin e klientit janë hapi i parë që tenton të minimizojë sulmet fizike dhe vendosjen e pajisjeve përgjuese në ATM. Për të shmangur përgjimin e kodit PIN përmes kamerave, prodhuesit e ATM-ve kanë hedhur në treg aksesorë që mundësojnë mbulimin e pamjes gjatë kohës së shtypjes së kodit PIN në tastierë.

krimi kinerbetik 8_opt

Në mungesë të tyre, përdoruesit këshillohen të mbulojnë tastierën me njërën dorë, ndërkohë që me dorën tjetër shtypin kodin PIN.

krimi kinerbetik 9_opt

Asgjë nuk duhet anashkaluar.

-Asnjë person i paautorizuar nuk duhet të ketë akses në zonën private të ATM-së.
Nëse ATM-ja reflekton ndryshime fizike të çfarëdo lloji, për të cilat nuk ka një komunikim zyrtar, duhet raportuar menjëherë në departamentet përkatëse. E parë në këndvështrimin e klientit, çdo klient që operon në një ATM:
-Duhet të jetë i vëmendshëm dhe të mos bëjë publik kodin PIN
-Të mos veprojë në ATM publike, nëse nuk ka të garantuar një nivel të kënaqshëm të privatësisë. E thënë ndryshe, nuk duhet të veprojë në ATM nëse personat rreth tij nuk ruajnë largësinë e nevojshme nga ATM që do t’i garantonte klientit privatësi gjatë kryerjes së veprimeve.
-Të verifikojë ATM-të në të cilat vepron për kamera të pazakonta, apo komponentë që nuk kanë përputhje solide me ATM-në.

Irena Rushaj
Drejtore IT, Union Bank

Komente

avatar
  Subscribe  
Notify of