ATM对抗信息刮取新方法:物联网上下文感知和NEM Catapult区块链
在美国,ATM信息刮取(Skimming)是当今很普遍的一大难题。幸运的是,物联网上下文感知和区块链可技术可以帮助解决ATM欺诈问题。
大约一周前,我在一个地方银行的自动取款机前停了下来。当我排在其他几个顾客后面时,我感到了一种紧张和不安的气氛。ATM前的女人正透过机器上的镜子,小心翼翼地打量身后的人。虽然我理解她的谨慎,但我不清楚她是否知道,更具威胁性的盗窃者可能往往不会在身后。相反,盗窃者可能正舒舒服服地坐在家里,通过磁条扫描器读取她的银行卡上的敏感数据信息,同时通过安置在ATM机上的微型热成像摄像机获取她的密码。据美国特勤局称,从ATM机中窃取信息的盗窃者每年的盗窃总额超过10亿美元。而这一统计数字还没有考虑到大量可能已发生的未经报告的事件,这些事件可能使这一数字增加到数十亿的倍数。
就在去年6月,在佛罗里达州的帕特南县,一个有组织的犯罪集团在被当局逮捕之前,就已经从自动取款机上窃取了291张信用卡。ATM可以说比加油站的油泵更有价值,因为它们每天要处理大量的资金。通过使用NEM Catapult区块链和物联网上下文感知,我们可以让每台ATM感应到不需要的外部组件,并报告未经授权的访问或修改,从而由内到外保护ATM机。
ATM信息刮取(Skimming)和垫片 (Shimming)是如何工作的?
ATM的信息刮取原理与加油站油泵的信息刮取原理大致相同,都是通过内部或外部的设备来读取磁条或卡片芯片。从那里,信息收集者通过短信或蓝牙将数据发送到罪犯自己的笔记本电脑或手机上。通常,罪犯会在ATM上放置外罩、键盘和读卡器,而不是合法的读卡器。这些通常很难被发现,因为它们是自动取款机部件的精确复制品。这些外壳包含简单的电子设备,主要是一个磁条阅读器,用来拦截进入机器的卡片。为了窃取密码,犯罪分子还会在键盘上安装一个低功率热成像摄像头,以查看哪些数字被按下。一旦有了盗窃信息,犯罪分子就可以很容易地制造出克隆卡,并在网上或商店消费。然而,当著名的信息刮取器成为诈骗分子的流行选择时,另一种设备也悄然侵入了ATM机:垫片 (Shimming)。垫片的工作原理和信息刮取器一样,但它是一种更低调的设备,可以安装在信用卡读卡器上。可以想象,与外部组件相比它更加难以检测。垫片还可以读取本应安全的基于芯片的卡片,使它们更具威胁性。
检测欺诈和欺诈性ATM部件:利用物联网上下文感知
利用区块链的安全性和透明性,以及来自物联网的自动化和无偏倚报告,我们可以构建一个解决方案来对抗信息刮取器、闪烁器和介于两者之间的一切。首先,让我们来看看这个问题的物理层面:在ATM机上和ATM机中放置脱脂器和闪蒸器。在ATM上应用我们独有的“IoT Skin”,我们就可以覆盖所有感兴趣的领域,包括柜内。IoT Skin应用上下文感知的概念来监控其环境,同时注意外部变量并对其采取行动。上下文感知是系统(在本例中是IoT Skin)检测周围环境并对其做出反应的能力。ATM机内部的监控设备会监视IoT Skin,以了解外部条件的变化,比如压力、光线和ATM机周围物体的距离。
如果IoT Skin检测到任何物体长时间放置在某些区域,比如读卡器或键盘附近,ATM的所有者就会被通知检查ATM是否有垃圾。为了防止闪烁,部分Skin被放置在读卡器内部。
IoT Skin会有相应的措施来告知ATM机外部或内部发生的情况。例如,如果有人将身体靠在机器上30秒到一分钟,Skin就不会被触发。然而,如果检测到存在超过5分钟,那么IoT Skin就知道可能发生欺诈活动。即使只是卡在机器外面的一块口香糖,也会促使ATM机的工作人员检查机器,确保没有放置任何非法物品。
换句话说,IoT Skin能够意识到情况的上下文,区分不同类型的活动,并采取相应的行动,在可疑欺诈的情况下向检修人员发出警报。
该监控装置还利用智能锁和磁簧传感器进一步保护ATM机内部。这些安全措施保护并监视合法(或非法)公司打开ATM的行为,并确保交互是真实有效的。
那么,所有的这些信息都去了哪里?如何检验和验证所有内容?答案是: Catapult区块链!
利用Catapult的内置功能,我们可以使物联网监控设备直接记录区块链安全,分布式账本上所有重要的外部和内部交互,还可以方便进入ATM机内部。
监测IoT Skin的物联网监测设备记录所有到区块链的交互,并保存所有可疑活动的不可变和可证明的记录。如果当天无事故发生,自动取款机就被认为是安全的,并被标记在区块链上。为了方便消费者识别ATM的安全性,可以放置一个可扫描的NFC或QR标签,以便消费者在Catapult上查看ATM的历史。这种透明性将激发ATM客户的信心和信任。他们会知道他们正在使用的自动取款机的确切出处,并在区块链的分布式账本上对其进行不可更改的记录和验证。
ATM接入控制: 借助Catapult
既然没有任何东西可以放在外部,那么如何阻止人们打开ATM机并从内部放置一个信息刮取器呢?对ATM机的访问控制至关重要。无论是简单地将机器装满现金,还是修改自动取款机的一部分,只有合格的个人才能被允许执行这些操作。为了解决这个问题,ATM操作员必须拥有一个链上的、不可转让的证书,称为Catapult上的“马赛克”。
此证书由一家公司颁发,该公司在Catapult上拥有一个惟一的域,称为名称空间。一旦创建了名称空间,区块链上的另一个人就不能使用它的名称。链上镶嵌限制也用于访问控制,只允许合格的个人拥有和使用此证书。它们充当适用于每个操作员的网络范围的规则和标准,并定义允许它们为哪些机器提供服务。这些限制还允许在操作员可能在不使用证书的特定情况下使用,例如在指定的位置或时间段。因此,公司可以在它们的名称空间下向正确的人颁发不可转让的、可编程的证书,以证明它们是合法的。
在ATM机与运营商之间的每次交互中,ATM机运营商与ATM机所有者之间还会签订一份一次性智能契约,称为集合保税交易。在这个链上契约中,他们将对特定ATM的时间范围和位置达成一致。该合同还包含物联网设备要求作为身份验证一部分的秘密加密代码。考虑到该契约还可以同时执行多种类型的事务,该契约将分配操作员的帐户元数据(Catapult的另一个特性)、应该服务的ATM的时间框架和位置。
在检查运营商的证书和密码后,物联网设备会检查账户的元数据是否正确,以确保它们在智能合同约定的时间范围内处于正确的位置。一旦确认,前面提到的智能锁就会被解锁。磁簧传感器也确认门被打开了一段合理的时间,并进一步验证相互作用。
如果一切正常,物联网设备将记录有效的链上交互。如果它是无效的,也会被记录下来,并提醒ATM所有者或其他相关方。Catapult区块链现在保存了这个交互作用链上的不可变记录,并且能够在将来需要的时候被引用和访问。
请记住,即使是操作员本身作为犯罪分子开始放置信息刮取器时,我们的IoT Skin也会在内部进行监视,确保没有放置任何不寻常的东西。
每当操作员需要补充现金、进行维护或修改ATM时,访问控制机制将从内部到外部控制ATM的各个方面。与IoT Skin相结合,这一多层解决方案创造了一个严格控制和监控的环境,一旦罪犯看到可追踪的品牌二维码ID标签,他们就会被吓住。
结论
Catapult区块链和物联网的结合是强大的——它允许我们连接现实世界和数字世界,并为很多不同的行业提供了一个新的视角。保护ATM机不受日益增长的威胁只是其中的一个应用——这里还有很多把物联网到区块链直接通信的概念应用到其他问题当中去的例子。这项技术确保了无偏技术的验证,即证明其能够正确地将数据记录到安全、不可变和容错的分类帐目上,并激发消费者信心,节约企业成本。
原文作者:IoDLT
本文来自翻译,如需转载,请先获取本站授权。
小罐子 