Elektronske naprave za odčitavanje biometričnih podatkov (skimerji) že pretijo

23.09.2016
Objavil: Dare Gliha

Strokovnjaki podjetja Kaspersky Lab so raziskali, kako bi lahko kibernetski kriminalci izkoristili nove tehnologije za overjanje na bančnih avtomatih, katerih uvedbo načrtujejo banke. Čeprav številne finančne organizacije umeščajo biometrične rešitve med najobetavnejše dopolnitve trenutnih načinov overjanja, ali med rešitve, ki bodo te načine celo nadomestile, je biometrija za kibernetske kriminalce nova priložnost za krajo občutljivih informacij.

Bančni avtomati so bili več let tarča goljufov, ki so se želeli polastiti podatkov o kreditnih karticah. Vse se je začelo s preprostimi elektronskimi napravami za odčitavanje podatkov (skimerji) – doma narejenimi napravami, ki so bile pritrjene na bančni avtomat in ki so bile, s pomočjo ponarejene tipkovnice bančnega avtomata ali spletne kamere, zmožne kraje informacij z magnetnega traku kartice in kraje kode pin. Sčasoma se je oblika takšnih naprav izboljšala, tako da so postale manj opazne. Z uvedbo veliko trših plačilnih kartic, zavarovanih s čipom in kodo pin, ki pa jih je bilo še vedno mogoče klonirati, so se naprave razvile v tako imenovane skimerje: v veliki meri gre za enake naprave, a takšne, ki so zmožne zbiranja podatkov s čipa kartice in s tem zagotovitve zadostne količine informacij za izvedbo spletnega rele napada. Sektor bančništva se na to odziva z novimi rešitvami za overjanje, od katerih nekatere temeljijo na biometriji.

Glede na raziskavo, ki jo je podjetje Kaspersky Lab izvedlo na področju nezakonitega kibernetičnega kriminala, je trenutno mogoče zaslediti vsaj dvanajst prodajalcev, ki ponujajo elektronske naprave za odčitavanje (skimerje), ki so zmožni kraje prstnih odtisov žrtev. Vsaj trije nezakoniti prodajalci se že ukvarjajo z razvojem naprav, ki bi omogočale nezakonito pridobivanje podatkov s sistemov za prepoznavo črt na dlani in šarenice.

Prvi val naprav za odčitavanje biometričnih podatkov (skimerjev) je bilo mogoče opaziti septembra leta 2015, v času »testiranj pred prodajo«. Dokazi, ki so jih zbrali strokovnjaki podjetja Kaspersky Lab, so razkrili, da so med začetnim testiranjem razvijalci zaznali več programskih napak. Glavna težava je bila v uporabi modulov GSM za prenos biometričnih podatkov, ki so bili prepočasni za prenos velike količine pridobljenih podatkov. Posledično bodo nove različice naprav za odčitavanje podatkov (skimerjev) uporabljale druge, hitrejše tehnologije za prenos podatkov.

V nezakonitih združbah je mogoče zaznati tudi razprave glede razvoja mobilnih aplikacij, ki vključujejo nadevanje mask preko obraza. S takšnimi aplikacijami bi lahko napadalci uporabili fotografijo določene osebe s socialnega omrežja in z njo prelisičili sistem za prepoznavo obraza.

»Težava z biometrijo je v tem, da v nasprotju z gesli ali kodami pin, ki jih je v primeru grožnje mogoče enostavno spremeniti, prstnega odtisa ali šarenice ni mogoče spremeniti. Ko bi bili vaši podatki enkrat ogroženi, tega načina overjanja ne bi bilo več varno uporabiti. Zato je izjemno pomembno, da je varnost takšnih podatkov zagotovljena, njihov prenos pa varen. Biometrični podatki so vključeni tudi v sodobnih potnih listih (e-potnih listih) in vizah. Če napadalec ukrade potni list, se poleg dokumenta dokoplje tudi do biometričnih podatkov te osebe. S tem ukradejo identiteto te osebe,« pravi Olga Kochetova, strokovnjakinja na področju varnosti v podjetju Kaspersky Lab.

Raziskovalci podjetja Kaspersky Lab pravijo, da uporaba orodij, s katerimi je mogoče ogroziti biometrične podatke, ni edina potencialna kibernetična grožnja, ki preti bančnim avtomatom. Hekerji bodo še naprej izvajali napade s škodljivimi programi, napade po metodi črne škatle in spletne napade z namenom prestrezanja podatkov, ki bi jih kasneje lahko uporabili za krajo denarja od bank in njenih strank.