Несанкционированное считывание номеров клиентских платежных карт представляет серьезную угрозу. В простейшем случае так называемый "скимминг" (от английского skimming, "снятие сливок". — Прим. перев.) может производиться нечистоплотным сотрудником ресторана или магазина, считывающим данные клиентской платежной карты с помощью специального портативного устройства -- скиммера. Существуют и более сложные схемы, предусматривающие получение информации непосредственно с кассового терминала по несанкционированно подключенному к нему кабелю или подмену терминала на оборудование, которое обслуживает интересы преступников, а не продавца.
В руководстве Skimming Prevention: Best Practices for Merchants ("Предотвращение скимминга: рекомендации для торговых предприятий"), выпущенном организацией Payment Card Industry Security Standards Council, подчеркивается, что даже крошечная камера способна зафиксировать все учетные данные платежной карты, включая PIN-код. Миниатюрные цифровые камеры нередко обнаруживают в подвесном потолке, над клавиатурой, предназначенной для ввода PIN-кода, или в непосредственной близости от нее, их прячут в контейнеры для рекламных листовок или в коробки для пожертвований. Злоумышленники используют миниатюрные камеры для записи момента ввода PIN-кода владельцем карты.
Для того чтобы вмонтировать в платежные терминалы считывающее оборудование, инициаторы атак идут на самые разнообразные ухищрения, иногда даже приплачивая сотрудникам торговых предприятий за то, что они в нужный момент "смотрят в другую сторону".
"Оборудование для скимминга может быть очень компактным и очень совершенным, -- отмечается в руководстве. -- Соответственно и обнаружить его тоже весьма непросто. Зачастую оно прячется внутри терминала, так что ни продавец, ни держатель карты не подозревают, что вся информация попадает в руки злоумышленников. В качестве скиммеров иногда используются даже MP3-плееры и диктофоны".
В руководстве Skimming Prevention приведены фотографии, призванные проиллюстрировать работу подобных считывающих устройств и показать продавцам, на что им следует обратить особое внимание.
На сегодняшний день скимминг является наиболее распространенной угрозой, с которой приходится сталкиваться представителям отрасли платежных карт. Выявлено уже несколько десятков разновидностей технологий и оборудования для скимминга, убытки от применения которых составили от нескольких тысяч до нескольких миллионов долларов.
По словам Троя Лича, технического директора PCI Security Standards Council, зарегистрированы случаи, когда платежные терминалы физически похищаются, а затем возвращаются на прежнее место. При этом никаких внешних изменений продавец не замечает, но теперь модифицированные терминалы передают криминальным элементам всю информацию, представляющую для них интерес. Также рекомендации призывают обращать особое внимание на внезапное появление на оборудовании новых наклеек: дело в том, что за этими наклейками могут скрываться отверстия, проделанные с помощью сверла.
Следует отметить, что ранее выпускавшиеся терминалы оказываются более уязвимыми по сравнению с новыми. Поэтому торговым предприятиям перед покупкой оборудования рекомендуется проверить его на соответствие требованиям PCI PTS Security Evaluation. Лич предупреждает об опасности приобретения подержанного оборудования, которое уже подключалось к каким-то сетям, а также покупки устройств у неизвестных продавцов. При этом злоумышленники, интегрировавшие в оборудование скиммеры, могут привлекать потенциальных покупателей низкими ценами.
В руководстве Skimming Prevention перечислен ряд мер, которые помогут торговым предприятиям минимизировать риски. К ним, в частности, относятся проверка послужного списка кандидатов перед их приемом на работу, а также тщательный контроль за физическим местоположением и конфигурацией терминалов с регистрацией их серийного номера, модели и сведений об изготовлении и модернизации с целью исключения внесений любых несанкционированных изменений.
Рекомендации PCI Security Standards Council составлены на основе документов ряда судебных органов и группы PIN Entry Device Working Group, патронируемой компанией Visa.