Cómo IoT y la Catapult resuelven la amenaza de clonado de tarjetas en diferentes ATM´s

Hace aproximadamente una semana, pasé por el cajero automático de mi banco local. Mientras me alineaba detrás de un par de otros clientes, sentí un aire de tensión e inquietud. La mujer en el cajero automático miraba con cautela a las personas detrás de ella a través de los espejos colocados en la máquina. Aunque entendí su precaución, me preguntaba si ella sabía que un ladrón más amenazante podría no estar directamente detrás de ella. Más bien, el ladrón podría estar sentado cómodamente en casa leyendo los datos confidenciales de su tarjeta de cajero automático a través de un skimmer de banda magnética mientras obtiene su número PIN con una pequeña cámara térmica colocada en el cajero automático.

Según el Servicio Secreto de EE. UU., Los robos de skimmers en cajeros automáticos ahora suman más de $ 1 mil millones por año. Esta estadística no tiene en cuenta el posible gran número de incidentes no reportados que podrían elevar este número a múltiplos de miles de millones.

El pasado junio, en el condado de Putnam, Florida, un grupo delictivo organizado pudo comprometer 291 tarjetas de crédito de cajeros automáticos antes de ser detenidos por las autoridades.

Los cajeros automáticos son posiblemente mucho más valiosos que las bombas de estaciones de servicio debido al volumen de FIAT que manejan cada día. Usando la conciencia de contexto de la Blockchain NEM Catapult y el Internet de las cosas (IoT), podemos proteger los cajeros automáticos de adentro hacia afuera al dar a cada cajero automático una forma de detectar componentes externos no deseados e informar de accesos o modificaciones no autorizados.

¿Cómo funciona el skimming & shimming ATM?

El desnatado en cajero automático funciona de la misma manera que las bombas de estaciones de servicio son desnatadas, a través de dispositivos internos o externos que pueden leer la banda magnética o el chip de la tarjeta. A partir de ahí, el skimmer envía los datos por SMS o Bluetooth a la computadora portátil o teléfono del criminal.

Muchas veces, los delincuentes colocan cubiertas externas, teclados y lectores de tarjetas sobre los legítimos en el cajero automático. Por lo general, estos son muy difíciles de detectar porque son una copia exacta de las partes del cajero automático.

Los skimmers a menudo se hacen como réplicas exactas de la parte legítima, lo que los hace difíciles de detectar.

Estas cubiertas contienen componentes electrónicos simples, principalmente un lector de banda magnética, para interceptar la tarjeta que ingresa a la máquina. Para robar el número PIN, los delincuentes también colocarán una cámara térmica de baja potencia sobre el teclado para ver qué números se han presionado. Una vez que tienen esta información robada, el criminal ahora puede crear fácilmente tarjetas clonadas para gastar en línea o en tiendas.

Sin embargo, si bien el conocido skimmer es una opción popular para los delincuentes, otro dispositivo ha llegado a los cajeros automáticos: Shimmers. Shimmers funcionan con el mismo principio de un skimmer, pero en cambio es un dispositivo de perfil mucho más bajo que puede caber en el lector de tarjetas de crédito. Como uno puede imaginar, se vuelve muy difícil de detectar en comparación con un componente externo. Shimmers también puede leer las tarjetas basadas en chips supuestamente seguras, lo que las hace aún más amenazantes.

Los shimmers son tableros compactos y extremadamente delgados que pueden caber dentro del lector de tarjetas.

Detección de piezas ATM falsas y fraudulentas con conocimiento del contexto de IoT

Usando la seguridad y la transparencia de blockchain, y la automatización e informes imparciales de Internet of Things, podemos construir una solución que combata los skimmers, shimmers y todo lo demás.

En primer lugar, cuidemos el aspecto físico del problema: la colocación de skimmers y shimmers en los cajeros automáticos. Al aplicar nuestra “IoT Skin” patentada en el cajero automático, podemos cubrir todas las áreas de interés, incluido el interior del gabinete. IoT Skin aplica conceptos de conciencia de contexto para monitorear su entorno y tomar nota y actuar sobre variables externas. \ La conciencia del contexto es la capacidad de un sistema, el IoT Skin en este caso, para detectar y reaccionar a su entorno. Un dispositivo de monitoreo dentro del cajero automático observa los cambios de IoT Skin en condiciones externas, como la presión, la luz y la distancia de los objetos alrededor del cajero automático.

Un concepto de IoT Skin en un cajero automático. IoT Skin cubre todas las áreas de interés en la máquina por dentro y por fuera. Es capaz de detectar perturbaciones externas o colocaciones externas. Todas las acciones sospechosas se registran en la Blockchain.

Si el IoT Skin detecta cualquier objeto que se coloque sobre ciertas áreas, como cerca del lector de tarjetas o el teclado, durante un período prolongado, se notifica al propietario del cajero automático para examinar el cajero automático en busca de skimmers. Para combatir los reflejos, parte de la máscara se coloca en el interior del lector de tarjetas.

El IoT Skin tendría medidas para contar el contexto de la situación que ocurre en el exterior o el interior del cajero automático. Por ejemplo, si alguien se apoyara en la máquina durante treinta segundos a un minuto, la máscara no se activaría. Sin embargo, si se detecta una presencia durante más de cinco minutos, IoT Skin sabe que puede estar teniendo lugar una actividad fraudulenta. Incluso si la presencia no es más que un chicle atascado en el exterior de la máquina, hará que el personal del cajero automático examine el cajero automático y se asegure de que no se haya colocado nada ilícito.

En otras palabras, IoT Skin puede ser consciente del contexto de la situación, diferenciar entre diferentes tipos de actividad y actuar en consecuencia para alertar a las partes correctas en caso de sospecha de fraude.

Este mismo dispositivo de monitoreo también utiliza una cerradura inteligente y un sensor de láminas magnéticas para proteger aún más el interior del cajero automático. Estas medidas de seguridad aseguran y vigilan en cualquier momento que una compañía legítima (o ilegítima) abra un cajero automático, y aseguran que la interacción sea auténtica y válida.

Ahora, ¿a dónde va toda esta información? ¿Cómo se valida y autentica todo? La respuesta: ¡la Blockchain de Catapult!

Al usar las funciones integradas de Catapult, podemos hacer que el dispositivo de monitoreo de IoT registre directamente todas las interacciones externas e internas importantes en el libro de contabilidad seguro y distribuido de blockchain, así como facilitar el acceso al interior del cajero automático.

El dispositivo de monitoreo registra todas las acciones sospechosas desde la máscara directamente en la Blockchain, como una cubierta falsa que se coloca sobre el lector de tarjetas.

El dispositivo de monitoreo de IoT que monitorea IoT Skin registra todas las interacciones en la Blockchain, manteniendo un registro inmutable y certificable de cualquier actividad sospechosa, o si no sucedió nada ese día, que el cajero automático se considera seguro y está etiquetado en la Blockchain como tal. Para ayudar a los consumidores a discernir fácilmente la seguridad de un cajero automático, se colocaría una etiqueta NFC o QR escaneable para permitir al consumidor ver el historial del cajero automático en Catapult. Esta transparencia inspiraría confianza y confianza para los clientes de cajeros automáticos. Sabrían la procedencia exacta del cajero automático que están utilizando, y que está inmutablemente registrado y verificable en el libro mayor distribuido de blockchain.

Aplicación simulada móvil que los clientes pueden descargar para verificar el cajero automático que están a punto de usar. La aplicación inspira la confianza del consumidor para rastrear la procedencia de cada cajero automático.

Control de acceso a cajeros automáticos: facilitado por Catapult

Ahora que nada se puede colocar externamente, ¿qué es lo que impide que alguien abra el cajero automático y coloque un skimmer desde adentro? ¿Deberían tener acceso? El control de acceso para cajeros automáticos es crucial. Ya sea simplemente para rellenar la máquina con efectivo, o incluso para modificar una parte del cajero automático, solo las personas calificadas deben poder realizar estas acciones.

Para resolver este problema, los operadores de cajeros automáticos deben poseer un certificado en cadena, no transferible, llamado “Mosaico” en Catapult.

Este certificado es emitido por una compañía que tiene un dominio único en Catapult, llamado espacio de nombres. Una vez que se crea un espacio de nombres, otra persona en la Blockchain no puede usar su nombre. Las restricciones de mosaico en la cadena también se utilizan para el control de acceso para permitir que las personas calificadas posean y usen este certificado. Actúan como reglas y estándares de toda la red que se aplican a cada operador y definen qué máquinas se les permite dar servicio. Estas restricciones también pueden permitir casos específicos en los que el operador no puede utilizar el certificado, como en ubicaciones o plazos específicos. Por lo tanto, las compañías pueden emitir certificados no transferibles y programables bajo su espacio de nombres a las personas correctas para demostrar que son legítimos.

En cada interacción entre el operador y el cajero automático, también se emitirá un contrato inteligente por única vez, llamado transacción agregada agregada, entre el operador del cajero automático y el propietario del cajero automático antes de que el cajero sea reparado. En este contrato en cadena, acordarán un marco de tiempo y ubicación para el cajero automático específico. Este contrato también contiene un código secreto y encriptado que el dispositivo IoT solicitará como parte de la autenticación. Dado que este contrato también puede ejecutar múltiples tipos de transacciones a la vez, el contrato asignará a los Metadatos de la cuenta del operador (¡otra función en Catapult!) El marco de tiempo y la ubicación del cajero automático que se supone que deben atender.

El flujo de autenticación descrito anteriormente ocurre completamente en Catapult sin ningún servidor intermediario. La Blockchain mantiene un registro de cada operador para verificar su identidad y certificación.

Después de verificar el certificado del operador y el código secreto, el dispositivo IoT verifica los metadatos de la cuenta para obtener los datos correctos para garantizar que se encuentren en la ubicación correcta y dentro del plazo acordado en el contrato inteligente. Una vez que esto se confirma, el bloqueo inteligente mencionado anteriormente se desbloquea. El sensor de láminas magnéticas también confirma que la puerta se abrió durante un período de tiempo razonable, validando aún más la interacción.

Si todo se verifica, el dispositivo IoT registra la interacción como válida en cadena. Si no fuera válido, eso también se registraría y alertaría al propietario del cajero automático u otras partes involucradas. La Blockchain Catapult ahora mantiene un registro inmutable de esta interacción en la cadena, y se puede hacer referencia a ella y acceder a ella en cualquier momento en el futuro si es necesario.

Tenga en cuenta que incluso si un elemento criminal que trabaja para el operador decide colocar un skimmer, nuestro IoT Skin estará observando el interior, asegurando que no se haya colocado nada fuera de lo común.

Cada vez que un operador necesita recargar efectivo, realizar tareas de mantenimiento o modificar el cajero automático, el mecanismo de control de acceso controlará todos los aspectos del cajero automático, desde adentro hacia afuera.

Combinada con IoT Skin, esta solución de múltiples capas crea un entorno estrictamente controlado y monitoreado que disuadirá a cualquier criminal tan pronto como vea una etiqueta de identificación de código QR rastreable y de marca. Ganar-ganar!

Conclusión

La combinación de la Blockchain Catapult y IoT es poderosa: nos permite conectar el mundo real con el digital, proporcionando una nueva perspectiva en muchas industrias diferentes. Proteger los cajeros automáticos de una amenaza cada vez mayor es solo una aplicación: hay muchos más que pueden surgir de aplicar este mismo concepto de comunicación directa de IoT a blockchain a diferentes problemas.

Esta tecnología permite la verificación de tecnología imparcial para registrar adecuadamente los datos en un libro de contabilidad seguro, inmutable y tolerante a fallas, lo que a su vez inspira la confianza del consumidor y el ahorro comercial.

Descargo de responsabilidad: estoy asociado con IoDLT como CTO de blockchain.

Si te gustó este artículo, no dudes en seguirme en mis canales sociales. ¡Me encantaría hablar de tecnología contigo en cualquiera de estas plataformas!

Fuente: Hackernoon