En inspektör håller upp en telefon utrustad med Bluetana med en skummare i bakgrunden. De två linjerna i rött är skimmerns Bluetooth-signatur. Identifierarna har suddats ut på skärmen och skummaren så att brottslingar inte kan identifiera dem. Kredit:David Baillot/University of California San Diego
Ett team av datavetare vid UC San Diego och University of Illinois har utvecklat en app som gör det möjligt för statliga och federala inspektörer att upptäcka enheter som stjäl konsumentkredit- och betalkortsdata vid bensinpumpar. enheterna, känd som skimmers, använda Bluetooth för att överföra data de stjäl.
"Allt brottslingar behöver göra är att ladda ner data från bekvämligheten av sitt fordon, " sa Nishant Bhaskar, en Ph.D. student i datavetenskap vid University of California San Diego och studiens första författare.
Appen, kallas Bluetana, upptäcker Bluetooth-signaturen för skimmarna, och tillåter inspektörer att hitta enheterna utan att behöva öppna bensinpumparna.
Bluetana utvecklades med teknisk input från United States Secret Service och är endast tillgänglig för brottsbekämpande tjänstemän och bensinpumpsinspektörer. Den kommer inte att vara tillgänglig för allmänheten. Det används nu av byråer i flera stater.
"Vårt mål är att ge fältagenter de bästa verktygen för det jobb som finns idag, sa Kirill Levchenko, en professor i datavetenskap vid University of Illinois som tog sin doktorsexamen. vid Jacobs School of Engineering vid UC San Diego. "Vi har upptäckt att Bluetana hjälper agenter att hitta fler bensinstationer med skummare - och att hitta fler skummare på dessa bensinstationer."
Forskarna fann att jämfört med liknande appar som för närvarande är tillgängliga för smartphones, Bluetana kommer sannolikt att upptäcka fler skummare och resulterar i en mycket lägre falsk positiv frekvens. "Bluetooth-teknik som används i dessa skummare används också för legitima produkter som vanligtvis ses på och nära bensinstationer som skyltar för hastighetsbegränsning, vädersensorer och system för spårning av flottan, ", sa Bhaskar. "Dessa produkter kan misstas för skimmers av befintliga detekteringsappar."
Bluetana använder en algoritm som utvecklats av forskarna för att skilja skimmers från legitima Bluetooth-enheter. Forskarna designade algoritmen baserat på resultaten av en fältstudie under vilken forskarna analyserade skanningar av Bluetooth-enheter tagna av tjänstemän vid 1, 185 bensinstationer i sex delstater i USA.
"Bluetana extraherar mer meningsfull data från Bluetooth-protokollet, såsom signalstyrka, än befintliga skumdetekteringsapplikationer. I några få fall, vår app kunde hitta enheter som missats vid visuell inspektion, sa Maxwell Bland, en Ph.D. student i datavetenskap vid UC San Diego och studiemedförfattare.
På ett år i drift, Bluetana har lett till upptäckten av 42 Bluetooth-baserade skummare i tre amerikanska delstater, som alla återfanns av brottsbekämpande agenter. "Vi blev förvånade över att det fanns så många skummare på fältet som inte hade upptäckts av andra detekteringsmetoder som regelbundna manuella inspektioner, sade Aaron Schulman, en biträdande professor i datavetenskap vid UC San Diego. "Vi hittade till och med två skummare som var installerade i bensinpumpar och som hade undvikit upptäckt i sex månader."
Forskare kommer att presentera sitt arbete om Bluetana vid USENIX Security 2019-konferensen den 14 augusti, 2019 i San Francisco Bay Area.
Vad gör skimmers och hur mycket är de värda för kriminella?
Skimmers har en hög avkastning på investeringen för kriminella:skummade betalkortsnummer kan användas för att ta ut kontanter och skummade kreditkortsnummer för att göra dyra inköp. En skumningsenhet kostar $20 eller mindre att tillverka och kan ta in mer än $4, 000 per dag, beroende på hur många som använder bensinpumpen och hur brottslingen omvandlar de stulna numren till kontanter.
En forskare håller upp en telefon utrustad med Bluetana-appen med en skummare i bakgrunden. De röda tecknen på skärmen är Bluetooth-signaturer från skimmers. Identifieringarna är suddiga så att brottslingar inte skulle kunna läsa dem. Kredit:David Baillot/University of California San Diego
Brottslingar bryter sig in i pumparna, många av dem kan öppnas med en universell huvudnyckel, för att installera skimmarna. Skimmers är anslutna till både knappsatsen och magnetremsläsaren inuti bensinpumpen. Detta gör att enheterna inte bara kan samla in kunders kortnummer, men också deras faktureringspostnummer och PIN-kod, vid en betalkortstransaktion.
Det tar Bluetana, i genomsnitt, three seconds to detect a skimmer. Däremot law enforcement officials can take 30 minutes on average to find skimmers during manual inspections.
"UC San Diego is an important and active partner on our Southern California Electronic Crimes Task Force, and has been able to provide technological solutions to current investigative needs, " said Special Agent in Charge James Anderson of the Secret Service. "Our office looks forward to presenting them with other investigative challenges."
Nästa steg
As more gas stations adopt payment systems exclusively for credit and debit cards with chips, criminals will use technologies to capture information from these types of cards. Researchers will have to follow suit. Visa and MasterCard are mandating that all gas stations in the United States use the chip-based systems by October 2020.
"Bluetana is not the last word, " Levchenko said. "As criminals evolve, our techniques will need to evolve also."
