
A new type of digital fraud has created concern among bank card users. Through a pirated POS device, which looks identical to normal card readers installed in business units, an attempt is made to rob its holder by manipulating unauthorized payments by him, simply by approaching the bags or pockets where the cards are kept. The mechanism of this fraud exploits the possibility that bank cards have to make payments without the need for the user to insert the card into the POS and press the PIN to authorize the transaction.
By MSc Roland Tashi, security expert
Unlike ATM robberies and online payment frauds for which there is sufficient information regarding the techniques used, the new phenomenon that is emerging still requires analysis and expertise to verify how the "robber" POS is adapted and modified to withdraw money illegally.
The biggest dilemma is related to the level of sophistication of the fraud system, raising the question of whether the device has been modified by IT experts or operates thanks to an unofficial application installed on a smartphone that allows manipulation of the terminal.
The operating mechanism of the pirate POS is still not completely clear; it has not been specified whether the amount to be transferred, stolen, must be entered manually or the terminal is capable of performing automatic withdrawals.
At the international level, documented cases come from Italy and Canada, where in the latter a criminal gang managed to obtain significant false refunds using modified terminals.
Let's focus on the robberies in Italy, so far detected in two cities, which, if confirmed by specialists in the field, will constitute an evolution, a sophistication of fraud through the modification of POS devices.
A robber with a POS hidden in her bag robbed tourists by approaching them "randomly" without attracting their attention.
Arrested after a robbery, an active and fully functional contactless POS device was found in her purse. Not an ordinary payment device, but a technological tool that she used to withdraw money from the victims' bank accounts through microtransactions. According to the investigation, the robber's device used NFC technology to make unauthorized payments simply by bringing it close to bags or pockets containing contactless credit or debit cards.
How does a hacked POS work and why is it dangerous?
Një POS contactless i instaluar në njësitë e biznesit dhe kudo tjetër, është pajisje legale e autorizuar për kryerjen e pagesave nga një institucion financiar. Kjo pajisje përdoret nga bizneset e të gjitha niveleve për të pranuar pagesa të shpejta edhe pa vendosur kodin e sigurisë, siç njihet ndryshe PIN, deri në një limit të paracaktuar. Ky instrument, i përdorur jashtë sistemit të autorizuar, mund të kthehet në një instrument të heshtur grabitës. Pajisja mund të konfigurohet paraprakisht për të kryer transaksione minimale duke vendosur manualisht shumën dhe duke aktivizuar leximin përmes NFC.
Duke e afruar pajisjen disa centimetra pranë një karte aktive, pagesa kryhet si të ishte autorizuar nga administruesi i saj, proces që ndodh brenda pak sekondash pa u vënë re nga viktima. Transaksionet janë reale, të regjistruara dhe shpesh vështirë të kontestohen nëse nuk kontrollohet rregullisht llogaria bankare. Vjedhja favorizohet duke përfituar nga distanca shumë e shkurtër e nevojshme për komunikimin NFC.
POS-i pirat aktivizohet ndërkohë që grabitësi i afrohet viktimës në vende të mbushura me njerëz, stacione, autobusë, qendra tregtare, etj. Mjafton një kontakt i afërt për të finalizuar transaksionin. Pajisja lëshon një sinjal të lehtë, që zakonisht humbet mes zhurmës së ambientit përreth. Në shumë raste, viktima nuk merr asnjë njoftim në kohë reale, sidomos nëse ka çaktivizuar njoftimet nga banka. Megjithëse procedura duket e thjeshtë, vjedhja me një POS contactless nuk është aq e lehtë dhe pa vështirësi. Pajisja kërkon vendosjen e shumës përpara leximit dhe ka një kohë shumë të shkurtër aktive.
Për më tepër, distanca efektive e NFC është vetëm 1-2 cm dhe prania e më shumë kartave ose barrierave fizike (si portofol prej lëkure ose çanta të mbyllura) mund ta pengojnë transaksionin. Nëse dy karta NFC ndodhen pranë njëra-tjetrës, sinjali mund të çorientohet dhe pagesa mund të dështojë. I rëndësishëm mbetet fakti se të gjitha transaksionet janë të gjurmueshme, çdo terminal lidhet me një llogari bankare e cila përmban të dhëna fiskale dhe transaksione të regjistruara, moment që e rrezikon grabitësin të arkëtojë paratë pa u zbuluar. Pagesat contactless kanë revolucionarizuar pagesat e përditshme duke i bërë më të shpejta dhe më të lehta, por ky komoditet siç duket ka filluar të shoqërohet nga rreziqe.
Kufijtë e pagesave pa PIN, të menduara për lehtësi dhe shpejtësi veprimi, janë gjithashtu një dobësi e mundshme për t’u shfrytëzuar. Kartat NFC janë shumë të përhapura por jo të gjithë përdoruesit kanë informacionin e mjaftueshëm për ekspozimin që ato kanë ndaj veprimeve mashtruese me qëllime përfitimi.
It should also be understood that even mobile devices such as Google Pay or Apple Pay, although more secure due to digital protections, can be misused if they do not have secure configurations. Assessing these situations, it is important that cardholders and users are well informed about the risks, without demonizing technology as a “being” with hidden power that holds a person’s destiny in its hands, but recognizing the advantages, limitations and risk that comes from its misuse.
How to protect yourself?
As in all situations related to human security, the postulate remains that the most effective protection is prevention. Using a wallet protected with RFID-blocker technology is today a necessary investment.
These accessories can block the NFC signal, preventing communication between the card and an external device.
Also, storing cards in inner pockets or sturdy wallets, kept away from the edges of your bag or backpack, significantly reduces the risk.
In crowded environments, being careful of those who get too close is an effective deterrent to theft.
Additionally, you can ask your bank to temporarily disable the contactless feature or lower the limits for automatic payments without a PIN.
What should we do if we suspect contactless device fraud?
The first step is to check bank transactions, even a small and suspicious payment should raise concerns, it should be reported immediately to the bank, which should initiate verification procedures for objection and blocking of the card. In cases of confirmed fraud, it is essential to file a complaint with law enforcement authorities, specifying all the details of the transactions. This allows law enforcement to combine data and trace the terminals used to reach the robber. It is very important to be a contributor to security issues, since even a single, seemingly unnecessary, complaint can help uncover large fraud networks.
In all cases, security experts advise caution, but not panic. The possibility of being a victim of a hacked POS exists, but it is limited if careful behavior is applied and there is information about this phenomenon. The technical security of NFC systems, the traceability of transactions, as well as the requirements for specific conditions when using POS terminals, make this method of robbery increasingly difficult to apply. However, documented cases highlight the need to attract public attention, so that card users with contactless technology do not fall victim to increasingly sophisticated digital traps./Monitor
Lini një Përgjigje