Een team van computerwetenschappers van UC San Diego en de Universiteit van Illinois heeft een app ontwikkeld waarmee staats- en federale inspecteurs apparaten kunnen detecteren die creditcard- en bankpasgegevens van consumenten bij benzinepompen stelen. de apparaten, bekend als skimmers, Bluetooth gebruiken om de gegevens die ze stelen te verzenden.

"Het enige wat criminelen hoeven te doen, is de gegevens downloaden vanuit het comfort van hun voertuig, " zei Nishant Bhaskar, een doctoraat student computerwetenschappen aan de University of California San Diego en de eerste auteur van de studie.

De app, genaamd Bluetana, detecteert de Bluetooth-handtekening van de skimmers, en stelt inspecteurs in staat om de apparaten te vinden zonder de benzinepompen te hoeven openen.

Bluetana is ontwikkeld met technische input van de Amerikaanse geheime dienst en is alleen beschikbaar voor wetshandhavers en inspecteurs van benzinepompen. Het zal niet beschikbaar zijn voor het grote publiek. Het wordt nu gebruikt door agentschappen in verschillende staten.

"Ons doel is om veldagenten de beste tools te geven voor de baan die vandaag beschikbaar is, " zei Kirill Levchenko, een professor computerwetenschappen aan de Universiteit van Illinois die zijn Ph.D. aan de Jacobs School of Engineering aan de UC San Diego. "We hebben ontdekt dat Bluetana agenten helpt meer tankstations met skimmers te vinden - en om meer skimmers bij die benzinestations te vinden."

De onderzoekers vonden dat, vergeleken met vergelijkbare apps die momenteel beschikbaar zijn voor smartphones, Bluetana zal waarschijnlijk meer skimmers ontdekken en resulteert in een veel lager percentage valse positieven. "Bluetooth-technologie die in deze skimmers wordt gebruikt, wordt ook gebruikt voor legitieme producten die vaak worden gezien bij en nabij benzinestations, zoals snelheidsborden, weersensoren en vlootvolgsystemen, "zei Bhaskar. "Deze producten kunnen door bestaande detectie-apps worden aangezien voor skimmers."

Bluetana gebruikt een door de onderzoekers ontwikkeld algoritme om skimmers te onderscheiden van legitieme Bluetooth-apparaten. De onderzoekers ontwierpen het algoritme op basis van de resultaten van een veldstudie waarin de onderzoekers scans van Bluetooth-apparaten analyseerden die door ambtenaren op 1 waren genomen. 185 benzinestations in zes Amerikaanse staten.

"Bluetana haalt meer betekenisvolle gegevens uit het Bluetooth-protocol, zoals signaalsterkte, dan bestaande skimmerdetectietoepassingen. In enkele gevallen is onze app kon apparaten vinden die door visuele inspectie waren gemist, " zei Maxwell Bland, een doctoraat student computerwetenschappen aan UC San Diego en co-auteur.

In een jaar van werking, Bluetana heeft geleid tot de ontdekking van 42 op Bluetooth gebaseerde skimmers in drie Amerikaanse staten, die allemaal werden teruggevonden door wetshandhavers. "We waren verrast dat er zoveel skimmers in het veld waren die niet waren ontdekt door andere detectiemethoden, zoals regelmatige handmatige inspecties, " zei Aaron Schulman, een assistent-professor in de informatica aan de UC San Diego. "We hebben zelfs twee skimmers gevonden die in benzinepompen waren geïnstalleerd en zes maanden lang detectie hadden ontweken."

Onderzoekers zullen hun werk over Bluetana presenteren op de USENIX Security 2019-conferentie op 14 augustus, 2019 in de Baai van San Francisco.

Wat doen skimmers en hoeveel zijn ze waard voor criminelen?

Skimmers hebben een hoog investeringsrendement voor criminelen:geskimde debetkaartnummers kunnen worden gebruikt om geld op te nemen en geskimde creditcardnummers om dure aankopen te doen. Een skimming-apparaat kost $ 20 of minder om te produceren en kan meer dan $ 4 opleveren, 000 per dag, afhankelijk van hoeveel mensen de benzinepomp gebruiken en hoe de crimineel de gestolen nummers omzet in contanten.

Criminelen breken in op de pompen, waarvan vele kunnen worden geopend met een universele hoofdsleutel, om de skimmers te installeren. Skimmers zijn verbonden met zowel het toetsenbord als de magneetstriplezer in de benzinepomp. This allows the devices to collect not only customers' card numbers, but also their billing ZIP code and PIN, in the case of a debit card transaction.

It takes Bluetana, gemiddeld, three seconds to detect a skimmer. Daarentegen, law enforcement officials can take 30 minutes on average to find skimmers during manual inspections.

"UC San Diego is an important and active partner on our Southern California Electronic Crimes Task Force, and has been able to provide technological solutions to current investigative needs, " said Special Agent in Charge James Anderson of the Secret Service. "Our office looks forward to presenting them with other investigative challenges."

Volgende stappen

As more gas stations adopt payment systems exclusively for credit and debit cards with chips, criminals will use technologies to capture information from these types of cards. Researchers will have to follow suit. Visa and MasterCard are mandating that all gas stations in the United States use the chip-based systems by October 2020.

"Bluetana is not the last word, " Levchenko said. "As criminals evolve, our techniques will need to evolve also."