En una publicación anterior, cubrimos Ram Raids, estafas de identificación de PIN, cambios automáticos de PIN, ataques de SMS y malware de ATM o software malicioso. En este post cubrimos Skim de punto de venta (POS).
Los 3 tipos de Skims POS
- Clerk skim; el más común es cuando un empleado de la tienda toma su tarjeta y la ejecuta a través de un dispositivo que copia la información de la banda magnética. Una vez que el ladrón tiene los datos de la tarjeta de crédito o débito, puede hacer pedidos por teléfono o en línea o crear una tarjeta clonada.
- Intercambio de puntos de venta; un skim más avanzado ocurre cuando los criminales se hacen pasar por técnicos de POS, ingresan a un establecimiento minorista y cambian las terminales POS existentes por clones que permiten el acceso remoto criminal al dispositivo. Los ladrones pueden reemplazar por completo el terminal de punto de venta de un comerciante con un dispositivo que está preparado para registrar o desviar datos de la tarjeta de forma inalámbrica, o simplemente almacenar los datos hasta que el delincuente regrese y los elimine.
- Malware POS; el skim de POS más sofisticado ocurre cuando el software POS real se ve comprometido de forma remota y se piratea cuando se instala malware, lo que da a los delincuentes el control total de los dispositivos.
Consejo de Normas de Seguridad PCI
El PCI Security Standards Council proporciona pautas diseñadas para ayudar a los comerciantes a almacenar de forma segura y transmitir datos de cuentas de tarjetas y evitar que caigan en manos de delincuentes. Los proveedores de tarjetas de crédito como Visa y MasterCard pueden multar a los minoristas que no cumplan con los estándares de PCI.
PCI actualiza constantemente una serie de recomendaciones para la prevención de fraudes de desnatado. " Skimming se está convirtiendo en un problema generalizado. Estas son las pautas de lo que los minoristas deberían considerar con sus dispositivos lectores ", dice Bob Russo, gerente general del PCI SSC. "Discutimos diferentes técnicas para proteger esos dispositivos de punto de venta".
Las pautas del Consejo PCI "Prevención de robo: mejores prácticas para comerciantes" incluyen un cuestionario de evaluación de riesgos y formularios de autoevaluación para medir la susceptibilidad a estos tipos de ataques y determinar dónde necesitan reforzar sus defensas. Las directrices cubren cómo educar y proteger a los empleados que manejan los dispositivos de punto de venta para que no sean el objetivo, así como también formas de prevenir y evitar el compromiso de esos dispositivos. También detallan cómo identificar a un lector amañado y qué hacer al respecto, y cómo la ubicación física de los dispositivos y las tiendas puede aumentar el riesgo.
Cómo protegerse
- Examine el cajero automático: esto significa que todos los cajeros automáticos, incluso los de su banco. También debe verificar cualquiera de los controles deslizantes de tarjetas como los que se encuentran en las estaciones de servicio, etc., especialmente si está usando su tarjeta de débito. Si el escáner no coincide con el color y el estilo de la máquina, podría ser un skimmer. También debe "sacudir" el escáner de tarjetas para ver si parece que hay algo conectado al lector de tarjetas en el cajero automático.
- Cubra el teclado cuando ingrese su PIN: para acceder a sus cuentas bancarias, los ladrones deben tener su número de tarjeta y su PIN. Al cubrir el teclado, evita que las cámaras y los espectadores vean su PIN.
- Revise con frecuencia los estados de cuenta de su banco y de su tarjeta de crédito: si alguien obtiene su información, tiene 60 días para informar cualquier cargo fraudulento a su compañía de tarjeta de crédito para que no le cobren. Para una tarjeta de débito, solo tiene alrededor de 2 días para informar cualquier actividad sospechosa.
- Sea exigente: no use cajeros automáticos generales en bares o restaurantes. Por lo general, estos no son monitoreados y, por lo tanto, cualquier persona puede manipularlos fácilmente.