「掴んで小刻みに動かしてみよう」

かつて世界的なサイバー犯罪で大きな役割を果たしていたカード スキマーについて書いてからしばらく時間が経ちました。

最近、サイバー侵害やサイバー犯罪のほとんどではないにしても、その多くはランサムウェア、ダークウェブ、クラウド、またはその 3 つの邪悪な組み合わせを中心に展開しています。

ランサムウェア攻撃では、犯罪者は実際に犯罪現場に直接近づく必要はなく、通常はダークウェブやクリプトコインなどの疑似匿名テクノロジーを使用してオンラインで利益を抽出します。

また、一部のクラウドベースのサイバー犯罪、特に一般的にサプライチェーン攻撃と呼ばれるものでは、犯罪者はネットワークにアクセスする必要さえありません。

あなたが貴重なデータを定期的にアップロードする第三者、または信頼できるソフトウェアを定期的にダウンロードする第三者を見つけることができれば、代わりにその第三者を追跡し、そこで損害を与えることができます。

最近のサイバー恐喝攻撃では、たとえ間接的にデータが盗まれたとしても、盗まれた従業員や顧客のデータをめぐって数十の大手ブランド名が脅迫されています。

たとえば、MOVEit 攻撃では、給与処理会社などのサービス プロバイダーからデータが盗まれました。サービス プロバイダーはバグのあるファイル転送ソフトウェアを使用して、自社の顧客から安全であるはずのアップロードを受け入れていました。

最終的に脅迫を受けた企業と、その企業が利用した給与処理サービスの両方が知らないうちに、MOVEIt ファイル転送ソフトウェアにより、犯罪者は保存されたデータの不正ダウンロードを実行することもできました。

MOVEit データ侵害ギャングが使用するゼロデイ エクスプロイト: その方法、理由、何をすべきか…

対照的に、クレジット カード スキミングは、加害者にとっても被害者にとっても、より危険な犯罪です。

カード スキマーは、銀行カードを使用するまさにその瞬間に、銀行カードにとって重要な個人情報を漏洩することを目的としています。

悪名高いこととして、カード スキマーはカード自体に保存されているデータだけでなく、認証の 2 番目の要素として機能する PIN も狙っています。

カードに簡単に複製できる磁気ストリップが搭載されている場合でも、複製できない安全なチップが搭載されている場合でも、その両方が搭載されている場合でも、PIN が実際のカードに保存されることはありません。

したがって、スキミング犯罪者は通常、小型の隠しカメラを使用して、PIN を入力するときにその PIN をライブで盗み出します。

おそらく皮肉なことに、ATM として知られる銀行の現金自動預け払い機は、カード スキミング装置の設置に最適な場所です。

ATM はほとんどの場合、カードを機械的につかみ、目に見えず手の届かないところで機械に直接引き込みます。

(どうやら、これには主に 2 つの理由があるようです。1 つ目は、そのプロセスでは、使用中にカードを外界に接続する可能性があるカードに半田付けされた不正なワイヤが切り取られる傾向にあるため、2 つ目は、カードがカードに使用されている場合、銀行がそのカードを没収する可能性があるためです。盗まれたのではないかと思われます。）

言い換えれば、ATM に偽の磁気ストライプ リーダーを追加することは、磁気ストライプ全体がリーダーに通過したりリーダーを通過したりしないタップ ツー ペイまたはチップ アンド PIN 端末で同じことを行うよりも一般に効果的です。

また、ATM は常に PIN を要求し、多くの場合、目に見えるところに小型カメラを隠すことができる便利な表面機能がたくさんあります。

別の皮肉なことに、カード スキマーにとっては、脇道にある薄暗い ATM よりも、安心できる環境を提供することを目的とした明るい銀行ロビーの方が適している場合があります。

私たちが思い出すある事例では、複数の銀行が利用できるダウンタウンのビルの ATM ロビーには、顧客の安全性を高めるために営業時間外の「セキュリティ」ドアが取り付けられていました。

このドアは、ATM を利用しようとする人が最初にアクセスするために入り口で何らかの銀行カードを読み取る必要があったため、誰かが一晩中 ATM の中でたむろするのを防ぐことを目的としていました。

しかし、これはセキュリティを向上させるどころか、事態をさらに悪化させました。なぜなら、犯罪者たちはドア自体に隠しカードリーダーを取り付けただけで、顧客が実際の ATM に到達する前に、すべての銀行のカードからデータを盗み出したからです。