信用卡撇取器的工作原理，以及如何识别它们

信用卡撇取器是一种恶意设备，犯罪分子通常会将其附在自动取款机和加油机上的支付终端上。当你使用这样一个被泄露的终端时，浏览者会创建一个你的卡的副本并捕获你的PIN（如果是ATM卡的话）。...

信用卡撇取器的工作原理，以及如何识别它们

信用卡撇取器是一种恶意设备，犯罪分子通常会将其附在自动取款机和加油机上的支付终端上。当你使用这样一个被泄露的终端时，浏览者会创建一个你的卡的副本并捕获你的PIN（如果是ATM卡的话）。

如果你使用自动取款机和加油机，你应该意识到这些攻击。如果掌握了正确的知识，事实上很容易发现大多数掠食者，尽管和其他攻击一样，这些类型的攻击会越来越高级。

撇油机的工作原理

传统上，撇油器有两个部件。第一个是一个通常插在卡槽上的小设备。**卡时，设备会在卡的磁条上创建数据副本。卡通过设备进入机器，所以一切看起来都正常，但你的卡数据刚刚被复制。

设备的第二部分是一个摄像头。一个小摄像头放在某个地方，它可以看到键盘可能在ATM的屏幕顶部，就在数字键盘的上方，或键盘的侧面。摄像头指向键盘，它捕捉到你输入PIN。终端继续正常工作，但攻击者只是复制了你卡的磁条，偷走了你的PIN。

攻击者可以利用这些数据编程一张带有磁条数据的假卡，并将其用于其他ATM机，输入您的PIN并从您的银行账户中取款。

信用卡撇取器的工作原理，以及如何识别它们

尽管如此，撇油机也变得越来越复杂。撇油器不是安装在卡槽上的装置，它可能是**卡槽本身的一个小的、不易察觉的装置，通常被称为微光。

攻击者可能使用的不是指向键盘的摄像头，而是一个覆盖物——一个装在真实键盘上的假键盘。当你按下假键盘上的一个按钮时，它会记录你按下的按钮，并按下下面的真实按钮。这些很难被发现。与相机不同的是，它们还保证捕捉到你的PIN。

信用卡撇取器的工作原理，以及如何识别它们

略读器通常将捕获的数据存储在设备本身上。犯罪分子必须回来取回撇油器，以获取捕获的数据。然而，现在越来越多的浏览者通过蓝牙甚至蜂窝数据连接无线传输这些数据。

如何识别信用卡撇取器

这里有一些发现卡片撇取器的技巧。你不可能发现每一个掠夺者，但你绝对应该在取款前快速环顾四周。

摇动读卡器：当你用手摇动读卡器时，如果读卡器四处移动，可能有什么地方不对。一个真正的读卡器应该很好地连接到终端上，这样它就不会四处移动——一个覆盖在读卡器上的略读器可能会四处移动。
查看终端：快速查看支付终端本身。有什么地方看起来有点不对劲吗？也许底部面板的颜色与机器的其他部分不同，因为它是一块假塑料，放在真正的底部面板和键盘上。也许有一个奇怪的物体里面有一个摄像头。
检查小键盘：小键盘看起来是否有点太厚，或者与您以前使用过的机器的外观不同？它可能是一个覆盖在真正的键盘。
检查摄像头：考虑攻击者可能将摄像头藏在屏幕或键盘上方的某个位置，甚至藏在机器上的手册夹中。
使用Android的Skimmer Scanner：如果你使用Android**，有一个很棒的新工具叫做Skimmer Scanner，它可以扫描附近的蓝牙设备，并检测市场上最常见的Skimmer。这不是万无一失的，但这是一个寻找通过蓝牙传输数据的现代撇取器的极好工具。

信用卡撇取器的工作原理，以及如何识别它们

如果你发现有什么严重的问题-一个移动的读卡器，一个隐藏的摄像头，或一个键盘覆盖一定要提醒银行或企业负责终端。当然，如果有些事情看起来不对劲，那就去别的地方。

信用卡撇取器的工作原理，以及如何识别它们

您应该采取的其他基本安全预防措施

你可以找到常见的，廉价的略读与技巧，如试图抖动读卡器。但在使用任何支付终端时，您都应该做以下几点来保护自己：

用手屏蔽PIN：当您将PIN键入终端时，用手屏蔽PIN键盘。是的，这并不能保护你免受最复杂的使用键盘覆盖的略读器的攻击，但你更有可能遇到使用相机的略读器，因为罪犯购买相机要便宜得多。这是你可以用来保护自己的第一要诀。
监控你的银行账户交易：你应该定期在线检查你的银行账户和信用卡账户。检查可疑交易并尽快通知您的银行。你想尽快抓住这些问题不要等到你的银行在罪犯从你的账户中取款一个月后给你寄来打印的对账单。工具，如薄荷网-或者你的银行可能提供的警报系统也可以在这里提供帮助，当不寻常的交易发生时通知你。
使用非接触式支付系统：在适用的情况下，您还可以通过使用Android Pay或Apple Pay等非接触式支付工具来保护自己。这些都是固有的安全和完全绕过任何类型的刷卡系统，所以你的卡（和卡数据）从来没有真正使它接近终端。不幸的是，大多数自动取款机仍然不接受非接触式取款方式，但至少这在加油站变得越来越普遍。

信用卡撇取器的工作原理，以及如何识别它们

这个行业正在研究解决方案…进展缓慢

就像skimmer行业不断尝试寻找新的方法来窃取你的信息一样，信用卡行业也在用新技术来保护你的数据安全。大多数公司最近都改用了EMV芯片，这使得盗取你的信用卡数据几乎不可能，因为它们很难复制。

问题是，尽管大多数卡公司和银行在卡上采用这种新技术的速度相当快，但许多读卡器、支付终端、自动取款机等仍然使用传统的刷卡方式。只要这类系统仍然存在，撇油机就永远是一种风险。到目前为止，我还不能说我见过一个使用芯片系统的ATM或气泵终端，这两个终端都有连接撇油器的最高概率。希望我们能看到芯片系统在2018年的过渡期内，在支付终端变得更加丰富。

但在此之前，你可以用这篇文章中的步骤来尽可能地保护自己。就像我说的，这不是万无一失的，但是尽你所能来保护你的数据和你的财务从来都不是一个坏主意。

要了解更多关于这个可怕的话题，或者只是想看看所有涉及到的略读硬件的照片，请查看Brian Krebs在Krebs on Security上的Allabout Skimmers系列。在这一点上有点过时，很多文章都可以追溯到2010年，但这一切仍然与今天的攻击非常相关，如果你感兴趣的话，值得一读。

图片来源：亚伦·波芬伯格在Flickr上，尼克·v在Flickr上