Brian Krebs, chuyên gia về bảo mật ATM, đã làm quen với một kẻ chuyên tạo và cung cấp skimmer (công cụ đọc trộm dữ liệu) cho tội phạm. Người này lý giải vì sao skimmer được trang bị công nghệ di động lại hiệu quả, an toàn và được ưa chuộng hơn:
"Skimmer hoạt động trên mạng GSM cho phép lấy dữ liệu trong thẻ của người sử dụng máy ATM và truyền qua tin nhắn SMS, do đó chúng tôi không cần phải quay lại 'hiện trường' để gỡ thiết bị.
Giống như Windows bị khai thác nhiều nhất bởi nó là hệ điều hành phổ biến nhất, giới sản xuất skimmer thường xây dựng thiết bị phù hợp với những hệ thống đang được triển khai rộng khắp toàn cầu, chẳng hạn NCR 5886.
GSM skimmer có giá khoảng 7.000-8.000 USD với 2 bộ phận chính: thiết bị đọc nằm vừa trong khe đặt thẻ ATM, có nhiệm vụ ghi lại giữ liệu lưu ở mặt sau của thẻ và một tấm PIN pad giả được gắn phía trên PIN pad thật chụp mã số nhưng vẫn cho phép người sử dụng giao dịch như bình thường.
Giả sử chúng ta đang ở châu Âu và skimmer được lắp đặt lúc 9h sáng thì đến 3h chiều, điện thoại của tôi sẽ nhận được dữ liệu của 25-35 thẻ và thu được tầm 30.000 USD. Nếu lúc này cảnh sát phát hiện và gỡ thiết bị thì mọi thông tin cần thiết cũng đã nằm trong điện thoại và số tiền kia sẽ được rút ra nhanh nhất có thể trước khi nạn nhân kịp hành động.
Có lần, cảnh sát không tháo skimmer mà âm thầm theo dõi từ xa với hy vọng tội phạm sẽ quay lại lấy thiết bị. Họ không biết rằng mọi dữ liệu được gửi qua mạng di động không dây. Tới đêm, khi không còn kiên nhẫn, cảnh sát mới quyết định tắt skimmer và hôm đó, chúng tôi đã thu được một mẻ lớn với dữ liệu và mã PIN của 120 thẻ ATM.
ATM card skimmer hoạt động trong mạng GSM. |
Mặt trước của tấm PIN pad giả trông như PIN pad thật. |
Mặt sau của PIN pad giả. Ảnh: KrebsOnSecurity. |
Ngược lại, nếu dùng skimmer không hỗ trợ GSM, bạn sẽ phải đến tận nơi để lấy thẻ nhớ và có nguy cơ bị tóm (Hồi tháng 3, một kẻ trong đường dây ăn trộm thông tin thẻ đã nuốt USB vào bụng khi bị cảnh sát bắt ở New York, Mỹ). Nếu không dám đến thì sao? Bạn sẽ mất cả thiết bị, dữ liệu và tiền bạc.
Đừng hỏi vì sao tôi bán thiết bị này. Tôi không thích câu hỏi đó đâu. Đây là công việc của tôi. Hỏi như vậy cũng chẳng khác nào thắc mắc vì sao tôi uống cafe mỗi sáng, tôi đi tàu điện mỗi ngày".
Hacker nói trên cũng gửi cho Krebs đoạn clip dài 15 phút hướng dẫn cách lắp đặt. Krebs trích đăng một vài đoạn, trong đó video đầu tiên là cách gắn skimmer trên một máy ATM giả lập, video thứ hai cho thấy GSM card được đặt vào tấm PIN pad và video cuối cùng là cách gắn SIM card vào skimmer module.
Châu An