/ Skimmer

Análisis y detección de skimmers

Un ataque exitoso, lee los datos de su tarjeta cuando los inserta en la ranura (card reader) y utiliza una superposición de teclado (PIN pad overlay) para detectar pulsaciones de teclas o una cámara estenopeica [pinhole] para grabar el ingreso de su pin en el teclado.

cover_pin_pad

La afectación de este ataque; requiere acceso físico al la parte frontal del cajero, de esta forma proceden a instalar el skimmer.

Según la sofisticación del skimmer y experiencia del/los atacante/s, este puede ser instalado en pocos segundos Banco o hasta unos minutos Gasolinera. La modalidad operativa generalmente es en grupo, aunque también se puede realizar en solitario.

Trabajo en equipo:
teamwork-1


El fraude en cajeros automáticos aumentó en un 40% en 2017, se proyecta que el robo de tarjetas en total llegará a más de $ 30 mil millones para 2020.
east_report_2016
[^Fuente EAST]


Ahora procedemos a complementar el análisis de un paper [^usenix], junto con otra información.
Los datos de las muestras las podemos divisar de la siguiente tabla:fraud_table-1


La mayoría de skimmers son dispositivos externos que se pueden instalar sin abrir el dispositivo de pago. Los dispositivos externos se pueden conectar como superposiciones (overlap) del lector de tarjetas y deep insert, dentro de la ranura de la banda magnética, los que caben en la ranura EMV (lector de chips) y los que interceptan la línea de comunicación física.
Una minoría de skimmers están conectados internamente (generalmente en estaciones de servicio con poca seguridad física alrededor de los surtidores)

atm_cross_section
También podemos apreciar de los datos anteriores, que los casos de wiretrap, no son tan frecuentes. Esto no implica que olvidemos de protegernos contra este tipo de ataque.


La siguiente imágen muestra un skimmer superpuesto y su apariencia cuando está instalado.
overlay_skimmer
El consejo común es "tirar del lector de tarjetas" o buscar cualquier aspecto inusual antes de usar un cajero automático. Pero las superposiciones (overlays) están muy hábilmente diseñadas para hacer que sea muy difícil detectarlas, y están unidas lo suficiente como para que solo una herramienta de palanca pueda extraerlas/detectarlas.


Cuando se trata de un deep insert skimmer, ya la tarea en la detección es más compleja. Este se coloca dentro del lector de tarjeta.

En estos tiempos es muy frecuente encontrarnos con estos dispositivos, muy diminutos y efectivos.
deep_insert_skimmer
Generalmente son fabricados a medida, para un modelo y marca específicos. Permitiendo un mejor funcionamiento y fácil instalación (de unos pocos segundos).


Los atacantes poseen lectores del ATM en cuestión, eso les permite practicar y perfeccionar diseños.
testing

testing2

testing3

testing4

testing5


Aquí podemos ver un nuevo diseño, donde apreciamos el esqueleto del deep insert skimmer, con tan solo la mitad de tamaño.
small_deep_insert-1


Para guardar el PIN del usuario en un teclado falso (PIN pad overlay). Se pueden encontrar una basta cantidad de modelos, incluso idénticos a los originales. Este tipo de adquisición, es más difundido en el usuario común, reduciendo la probabilidad de pasar inadvertido.
pin_pad_overlay
La principal ventaja de esta técnica, es la de poder sincronizar rápidamente el PIN con los datos extraídos por el skimmer.


Otra forma de obtener el PIN sin estar cerca de la víctima, los atacantes instalan una cámara estenopeica, comúnmente conocidas como pinhole. estas pueden pasar inadvertidas, ya que generalmente se instalan en el mismo lugar donde hay una luz, al estar encendida es muy difícil verla.
hide_pinhole_camera
También las pueden ubicar en el panel superior de la pantalla.
camera-1
Este método requiere de acceso frontal del ATM, para poder instalar la cámara.

Con este tipo de cámaras podemos ver al usuario ingresar el PIN. La desventaja radica en que se debe sincronizar los datos extraídos del skimmer con la hora del video, dificultando el tiempo de centralizar datos para un posterior ataque.
pinhole_camera
La posible ventaja es su difícil detección, para usuarios inexpertos, al no ser parte del checkeo “popular”.


Obsrvaciones

Hay aplicaciones de teléfonos inteligentes que dicen detectar skimmers buscando comunicaciones por radio Bluetooth, pero solo el 20% de los skimmers encontrados, tienen realmente capacidad de recuperación de datos inalámbricos, lo que hace que esta defensa sea inútil contra la gran mayoría de los skimmers, por parte de un usuario.

Los skimmers de tarjeta deben leer la tarjeta

Hay una cosa que es fundamental para los skimmers: ¡tienen que leer realmente los datos de la tarjeta!

Esto requiere una cabeza de lectura presionada contra la pista magnética en la tarjeta con un mecanismo de resorte.
skimmer_reader
Además, la cabeza debe ser un conductor y en la práctica parece ser siempre metálica. La cabeza de lectura más pequeña que se encontró para el contacto con la tarjeta, fué de una sección de 1,5 mm. de la cabeza, y un límite inferior probablemente sea de alrededor de 1 mm..

Estas tres propiedades constituyen aspectos fundamentales de la lectura; es decir, los atacantes buscan leer tarjetas de manera confiable, deben cumplir con los diseños que tengan estas características.


Detectando dobles lecturas

Si hay un dispositivo skimming, entonces, además de la lectura legítima de la tarjeta, habrá una segunda lectura por parte del skimmer.
voltage_card_read_comparison
Por lo tanto, si podemos detectar de manera confiable las lecturas de lectura de una tarjeta, y podemos contar el número de lecturas, tendremos una manera de detectar cuándo ocurre más de lo que se espera (dispositivos 'dip style' que toman la tarjeta, entra y luego lo expulsa, espera una lectura en la inserción y otra en la eliminación en la operación normal).


Observaciones de Seguridad

Los skimmers representan una amenaza significativa y creciente para los terminales de pago en todo el mundo. Mostramos el hardware y las técnicas que utilizan para lograr engañar al usuario.
También dejamos expuesta la vulnerabilidad que sufre el usuario al no poder enfrentar estos ataques.
10_real_skimmers
set_completo-1
skimmer-same-as-orig
Se pueden desarrollar e instalar herramientas robustas para prevenir este tipo de ataques.


Indicadores de compromiso

  • Accesos físico.
  • De unos segundos a un par de minutos para completar la instalación.
  • Extracción de datos junto al hardware y en el menor de los casos de forma inalámbrica.

Recomendaciones técnicas para la entidad afectada

En primer lugar esta clase de incidentes de skimmers no son novedosos, lo único que cada vez se dificulta y buscan formas creativas de poder instalarlos en los cajeros automáticos.

  • Contar con una solución anti-skimmer y anti-deep insert skimmer.

  • Contar con un correlacionador de eventos para poder intervenir de forma inmediata frente a posibles instalaciones.

Recomendaciones para el usuario

  • Revisar PIN pad
  • Buscar cámaras
  • Observar si el lector de tarjetas está dañado o muy nuevo con respecto al ATM.
  • Ante cualquier duda No Utilizarlo, fotografiar y llamar a las autoriades

Anexo 1: Resumen de evidencias incluidas en la investigación

Las muestras se curaron, para la publicación, sin brindar información de las entidades afectadas.

atm_graffited

USENIX

Alexis Sarghel

Alexis Sarghel

Corporate Director Engineer at Cyttek Group, an international consulting company specialized in providing Cyber Security, Artificial Intelligence, Big Data and custom products for different sectors.

Read More