Polisens varning om spärrade kreditkortsterminaler

Svenska polisen unraveling ett system där brottslingar stal kreditkortsuppgifter genom att manipulera med POS-terminaler vid en Toys R Us butik i Malmö.

En terminal konstaterades att vara utrustad med ett falskt tangentbordsöverlägg som kan spela in PIN-koder (personliga identifikationsnummer) samt uppgifter om kortets magnetband, säger detektionschefen Harald Runge.

Ärendet liknar det som avslöjades tidigare i år som berör flera brittiska återförsäljare, där försäljningsenheterna hackades för att registrera debet- och kreditkortsuppgifter för användning i bedrägerier. Det visar också det ökande tekniska kunskapet som cyberkriminella har uppnått för att förhindra kortbedrägerier.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Det är andra gången polisen har upptäckt en manipulerad POS-terminal vid Toys R Us, sade Runge. För tre månader sedan hittades två kompromitterade terminaler, riktade med Bluetooth-sändare för att skicka kortinformation, sa han.

I så fall stördes minst 500 till 600 kort. Saken kom till ljus efter att personer rapporterade bedrägliga uttag på sina kort, sade Runge. Uttagningarna gjordes i Rumänien, ett land som kallas en fristad för cyberkriminella. "Vi vet att vanligtvis de personer som gör dessa brott i Sverige oftast kommer från Rumänien", sade Runge. Med hjälp av svenska banker, Det var bestämt att korten hade använts på Toys R Us, sade Runge. Den svenska polisen bär nu en teknisk utredning om hur POS-terminalerna äventyras, sa han. I Rumänien har myndigheterna bilder av personer som gjorde bedrägliga uttag, sade han.

De svenska kortnummer och uppgifter som spelats in på Toys R Us kan redan visas på olagliga webbplatser där kortuppgifter säljs, sade Frank Engelsman, en bedrägeribekännare med Ultrascan Advanced Global Investigations, ett bolag baserat i Nederländerna. Runge sa att folk som handlade på Toys R Us borde fråga sin bank om att ge dem nya kort.

Det verkar att cyberkriminella redan försöker sälja dessa detaljer. Fyra hundra svenska kortnummer har dykt upp i en av de underjordiska cyberkriminaldatabaser som ligger i Ryssland, sade Engelsman. Kortinformationen säljer för US $ 1 till $ 6, sa han.

Engelsman sa att Ultrascan har sett en skarp uppgång i antalet kreditkortsuppgifter som testas. För att sälja en kreditkortsregistrering vill köparen ofta se till att kortnumret är giltigt och inte har blivit avbrutet. För att göra det kommer cyberkriminella att ladda en mycket liten mängd till en organisation som politisk kampanj, sade Engelsman.

Avgiften kan vara så lite som $ 0,26. Cyberkriminella tenderar att variera beloppen, eftersom bankerna ofta kommer att avbryta kort om deras system för bedrägeribekämpning uppmärksammar till exempel 1000 kort som alla debiteras för 0,13 dollar, sade Engelsman.

"Vi har aldrig sett så mycket testning innan, sade Engelsman. "Efter testningen kommer de att använda dem [korten]."

Tampering med terminal-terminalerna blir alltmer sofistikerad. Engelsman sa att han hört om lag av professionella "inbrottstjuvar" som noga bryter in i en butik på natten och installerar utrustning för att spela in kortinformation. De lämnar utan spår.

Terminaler är också riktade för att spela in kreditkortsuppgifter vid vissa topptider när de flesta detaljer kan fångas för minsta batteriström. Till exempel skulle en POS-enhet bara spela in detaljer från 1 p.m. till 3 pm, sade Engelsman.

Apparaten kan också programmeras för att bara spela in, till exempel American Express-kort i stället för Visa eller MasterCard, sade Engelsman. Det beror på att vissa bedrägerier, som de i Nordafrika, föredrar American Express eftersom korten är mer allmänt accepterade i området, sa han.

I vissa fall överförs kortinformationen via ett trådlöst mobilt chip installerat i POS-enheten, sade Engelsman. I andra fall har terminalerna en kort Bluetooth-kapacitet. En bedrägeri kan komma tillbaka till affären för att överföra den fångade data till en annan Bluetooth-aktiverad enhet.