Dans un post précédent, nous avons traité des attaques RAID, des arnaques par code PIN, des changements de code PIN automatisés, des attaques SMS et des logiciels malveillants ATM ou malveillants. Dans ce post, nous couvrons le point de vente (POS).
Les 3 types de skims POS
- Commis écrémé; le plus commun est quand un employé de magasin prend votre carte et l'exécute à travers un dispositif qui copie les informations de la bande magnétique. Une fois que le voleur a les données de carte de crédit ou de débit, il peut passer des commandes par téléphone ou en ligne ou créer une carte clonée.
- Échanges de POS; un écrémage plus avancé se produit lorsque des criminels se présentent comme des techniciens de point de vente, entrent dans un établissement de vente au détail et échangent les terminaux de point de vente existants avec des clones qui permettent l'accès criminel à distance à l'appareil. Les voleurs peuvent complètement remplacer le terminal de point de vente d'un commerçant par un appareil qui est configuré pour enregistrer ou dévier des données de carte sans fil, ou simplement stocker les données jusqu'à ce que le criminel revienne et les supprime.
- POS malware; le survol POS le plus sophistiqué se produit lorsque le logiciel de caisse actuel est compromis à distance et piraté lorsqu'un logiciel malveillant est installé, donnant aux criminels un contrôle total sur les appareils.
Conseil des normes de sécurité PCI
Le Conseil des normes de sécurité PCI fournit des lignes directrices conçues pour aider les commerçants à stocker et à transmettre en toute sécurité les données de compte de carte et à empêcher qu'elles tombent entre les mains de criminels. Les détaillants qui ne se conforment pas aux normes PCI peuvent se voir imposer des amendes importantes par les fournisseurs de cartes de crédit tels que Visa et MasterCard.
PCI met constamment à jour une série de recommandations pour la prévention des escroqueries d'écrémage. " L'écrémage devient un problème répandu. Ce sont des lignes directrices sur ce que les détaillants devraient regarder avec leurs lecteurs », explique Bob Russo, directeur général du PCI SSC. "Nous discutons de différentes techniques pour protéger ces dispositifs de point de vente."
Les lignes directrices «Prévention de l'écrémage: meilleures pratiques pour les commerçants» du Conseil PCI comprennent un questionnaire d'évaluation des risques et des formulaires d'autoévaluation pour évaluer la vulnérabilité à ces types d'attaques et déterminer où elles doivent renforcer leurs défenses. Les directives couvrent la façon d'éduquer et de protéger les employés qui manipulent les dispositifs de point de vente d'être ciblés, ainsi que les moyens de prévenir et de décourager la compromission de ces dispositifs. Ils détaillent également comment identifier un lecteur manipulé et ce qu'il doit faire et comment l'emplacement physique des périphériques et des magasins peut augmenter le risque.
Comment se protéger
- Scrutinize the ATM: Cela signifie tous les guichets automatiques, même ceux de votre banque. Vous voulez également vérifier l'un des curseurs de carte comme ceux dans les stations-service, etc, surtout si vous utilisez votre carte de débit. Si le scanner ne correspond pas à la couleur et au style de la machine, il peut s'agir d'un skimmer. Vous devriez également "secouer" le lecteur de cartes pour voir si vous avez l'impression que le lecteur de cartes sur le guichet automatique contient quelque chose.
- Couvrez le clavier lorsque vous entrez votre code PIN: Pour accéder à vos comptes bancaires, les voleurs doivent avoir votre numéro de carte et votre code PIN. En couvrant le clavier, vous empêchez les caméras et les spectateurs de voir votre code PIN.
- Vérifiez souvent vos relevés bancaires et vos relevés de carte de crédit: Si quelqu'un obtient vos renseignements, vous avez 60 jours pour signaler les frais frauduleux à votre compagnie de carte de crédit afin de ne pas être débité. Pour une carte de débit, vous n'avez que 2 jours pour signaler toute activité suspecte.
- Soyez sélectif: n'utilisez pas les guichets automatiques généraux dans les bars ou les restaurants. Ceux-ci ne sont généralement pas surveillés et, par conséquent, peuvent être facilement trafiqués par n'importe qui.