How Card Skimming Disproportionally Affects Those Most In Need

When people banking in the United States lose money because their payment card got skimmed at an ATM, gas pump or grocery store checkout terminal, they may face hassles or delays in recovering any lost funds, but they are almost always made whole by their financial institution. Yet, one class of Americans — those receiving food assistance benefits via state-issued prepaid debit cards — are particularly exposed to losses from skimming scams, and usually have little recourse to do anything about it.

California’s EBT card does not currently include a chip. That silver square is a hologram.

Over the past several months, authorities in multiple U.S. states have reported rapid increases in skimming losses tied to people who receive assistance via Electronic Benefits Transfer (EBT), which allows a Supplemental Nutrition Assistance Program (SNAP) participant to pay for food using SNAP benefits.

When a participant uses a SNAP payment card at an authorized retail store, their SNAP EBT account is debited to reimburse the store for food that was purchased. EBT is used in all 50 states, the District of Columbia, Puerto Rico, the Virgin Islands, and Guam.

EBT cards work just like regular debit cards, in that they can be used along with a personal identification number (PIN) to pay for goods at participating stores, and to withdraw cash from an ATM.

However, EBT cards differ from debit cards issued to most Americans in two important ways. First, most states do not equip EBT cards with smart chip technology, which can make payment cards much more difficult and expensive for skimming thieves to clone.

Alas, it is no accident that all of the states reporting recent spikes in fraud tied to EBT accounts — including California, Connecticut, Maryland, Pennsylvania, Tennessee, and Virginia appear to currently issue chip-less cards to their EBT recipients.

The Massachusetts SNAP benefits card looks more like a library card than a payment card.  Oddly enough, both are reliant on the same fundamentally insecure technology: The magnetic stripe, which stores cardholder data in plain text that can be easily copied.

In September, authorities in California arrested three men thought to be part of a skimming crew that specifically targeted EBT cards and balances. The men allegedly installed deep insert skimmers, and stole PINs using tiny hidden cameras.

“The arrests were the result of a joint investigation by the Sheriff’s Office and Bank of America corporate security,” reads a September 2022 story from The Sacramento Bee. “The investigation focused on illegal skimming, particularly the high-volume cash-out sequence at ATMs near the start of each month when Electronic Benefits Transfer accounts are funded by California.”

Armed with a victim’s PIN along with stolen card data, thieves can clone the card onto anything with a magnetic stripe and use it at ATMs to withdraw cash, or as a payment instrument at any establishment that accepts EBT cards.

Skimming gear seized from three suspects arrested by Sacramento authorities in September. Image: Sacramento County Sheriff’s Office.

Although it may be shocking that California — one of America’s wealthiest states — still treats EBT recipients as second-class citizens by issuing them chip-less debit cards, California behaves like most other states in this regard.

More critical, however, is the second way SNAP cards differ from regular debit cards: Recipients of SNAP benefits have little to no hope of recovering their funds when their EBT cards are copied by card-skimming devices and used for fraud.

That’s because in the SNAP program, federal law bars the states from replacing SNAP benefits using federal funds. And while some of these EBT cards have Visa or MasterCard logos on them, it is not up to those companies to replace funds in the event of fraud.

Victims are encouraged to report the theft to both their state agency and the local police, but many victims say they rarely receive updates on their cases from police, and, if they hear from the state, it’s usually the agency telling them it found no evidence of fraud.

Maryland’s EBT card.

That’s according to Brenna Smith, a reporter at The Baltimore Banner who recently wrote about the case of a Maryland mother of three who lost nearly $3,000 in SNAP benefits thanks to a skimmer installed at a local 7-Eleven. Maryland [Department of Human Services] spokesperson Katherine Morris told the Banner there was evidence of “a nationwide EBT card cloning scheme.”

The woman profiled in Smith’s story contacted all of the retailers where her EBT card was used to buy thousands of dollars worth of baby formula. Two of those retailers agreed to share video surveillance footage of the people making the purchases at the exact timestamps specified in her EBT account history: The videos clearly showed it was the same fraudster making both purchases with a cloned copy of her EBT card.

Even after the police officer assigned to the victim’s case confirmed they found a skimmer installed at the 7-Eleven store she frequented, her claim — which was denied — is still languishing in appeals months later.

(Left) A video still showing a couple purchasing almost $1,200 in baby formula using SNAP benefits. (Right) A video still of a woman leaving from the CVS in Seat Pleasant. Image: The Baltimore Banner.

The Center for Law and Social Policy (CLASP) recently published Five Ways State Agencies Can Support EBT Users at Risk of Skimming. CLASP says while it is true states can’t use federal funds to replace benefits unless the loss was due to a “system error,” states could use their own funds.

“Doing so will ensure families don’t have to go without food, gas money, or their rent for the month,” CLASP wrote.

That would help address the symptoms of card skimming, but not a root cause. Hardly anyone is suggesting the obvious, which is to equip EBT cards with the same security technology afforded to practically everyone else participating in the U.S. banking system.

There are several reasons most state-issued EBT cards do not include chips. For starters, nobody says they have to. Also, it’s a fair bit more expensive to produce chip cards versus plain old magnetic stripe cards, and many state assistance programs are chronically under-funded. Finally, there is no vocal (or at least well-heeled) constituency advocating for change.

from Krebs on Security

Firefox 106 llega con un rediseño en el modo incógnito, navegación con 2 dedos y mas

FIrefox 106

Firefox 106 presenta una serie de mejoras y correcciones de errores

Se dio a conocer hoy el lanzamiento de la nueva versión del popular navegador web Firefox «106», versión en la cual además de las innovaciones y las correcciones de errores, Firefox 106 corrige 8 vulnerabilidades, de las cuales 2 están marcadas como peligrosas.

La primera de ellas, CVE-2022-42927 (omite las restricciones del mismo origen, lo que permite el acceso al resultado de la redirección) y CVE-2022-42928 (corrupción de la memoria, en el motor JavaScript). Otras tres de las vulnerabilidades, CVE-2022-42932, que están calificadas como Moderadas, son causadas por problemas de memoria, como desbordamientos de búfer y acceso a áreas de memoria ya liberadas. Estos problemas pueden conducir potencialmente a la ejecución de código cuando se abren páginas especialmente diseñadas.

Principales novedades de Firefox 106

En esta nueva versión que se presenta del navegador se destaca que se ha rediseñado la ventana de navegación en modo privado para que sea más difícil confundirla con el modo normal. La ventana del modo privado ahora se muestra con un fondo de panel oscuro y, además de un icono especial, también se muestra una explicación de texto explícito.

Otro de los cambios que podremos encontrar en Firefox 106 es que se ha agregado un botón «Ver de Firefox» a la barra de pestañas para facilitar el acceso al contenido visto anteriormente. Al hacer clic en el botón, se abre una página de servicio con una lista de pestañas cerradas recientemente y una interfaz para ver pestañas en otros dispositivos. Para simplificar el acceso a las pestañas en otros dispositivos de usuario, también se coloca un botón separado junto a la barra de direcciones.

La página también brinda la posibilidad de cambiar la apariencia del navegador mediante el complemento Colorways integrado, que ofrece una interfaz para elegir seis temas de color, para los cuales se ofrecen tres opciones de tinte, lo que afecta la elección del tono para el área de contenido, paneles y barra de cambio de pestañas.

En el visor de documentos PDF incorporado, el modo de edición está habilitado de forma predeterminada y proporciona herramientas para dibujar etiquetas gráficas (dibujos con líneas a mano alzada) y adjuntar comentarios de texto, ademas de que se puede ajustar el color, el grosor de línea y el tamaño de fuente.

Para Linux con entornos de usuario basados ​​en el protocolo Wayland, se implementa el soporte para un gesto de control que permite navegar a las páginas anteriores y siguientes en el historial de navegación deslizando dos dedos sobre el panel táctil hacia la izquierda o hacia la derecha.

Tambien se destaca la compatibilidad con WebRTC significativamente mejorada, que incluye un rendimiento RTP mejorado, estadísticas ampliadas proporcionadas, carga de CPU reducida, mayor compatibilidad con varios servicios y herramientas mejoradas para proporcionar acceso a la pantalla en entornos basados ​​en el protocolo Wayland.

Ademas de ello, tambien se destaca que se agregó soporte para el reconocimiento de texto en imágenes, lo que permite extraer texto de imágenes publicadas en una página web y colocar el texto reconocido en el portapapeles o hablar con personas con discapacidad visual usando un sintetizador de voz. El reconocimiento se realiza seleccionando el elemento «Copiar texto de la imagen» en el menú contextual que se muestra al hacer clic derecho en la imagen. Actualmente, la función solo está disponible en sistemas con macOS 10.15+ (usando la API del sistema VNRecognizeTextRequestRevision2).

Para Windows 10 y Windows 11 se tienen la opción de anclar ventanas de navegación privadas al panel.
En la plataforma Windows, Firefox ahora está disponible como visor predeterminado para documentos PDF.

En Android ahora muestra pestañas sincronizadas en la página de inicio, se agregaron nuevas imágenes de fondo a la colección Independent Voices y se corrigieron errores que causan bloqueos, como seleccionar la hora en un formulario web o abrir unas 30 pestañas.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.

¿Como instalar o actualizar la nueva versión de Firefox en Linux?

Los usuarios de Firefox que no hayan desactivado las actualizaciones automáticas recibirán la actualización automáticamente. Aquellos que no quieran esperar a que eso suceda pueden seleccionar Menú> Ayuda> Acerca de Firefox después del lanzamiento oficial para iniciar una actualización manual del navegador web.

La pantalla que se abre muestra la versión actualmente instalada del navegador web y ejecuta una búsqueda de actualizaciones, siempre que la funcionalidad esté habilitada.

Otra opción para actualizar, es si eres usuario de Ubuntu, Linux Mint o algún otro derivado de Ubuntu, puedes instalar o actualizar a esta nueva versión con ayuda del PPA del navegador.

Este lo pueden añadir al sistema abriendo una terminal y ejecutando en ella el siguiente comando:

sudo add-apt-repository ppa:ubuntu-mozilla-security/ppa -y 
sudo apt-get update
sudo apt install firefox

Para el caso de los usuarios de Arch Linux y derivados, basta con ejecutar en una terminal:

sudo pacman -Syu

O para instalar con:

sudo pacman -S firefox

Finalmente para aquellos que prefieren del uso de los paquetes Snap, podrán instalar la nueva versión abriendo una terminal y tecleando en ella

sudo snap install firefox

Finalmente, pueden obtener el navegador con el último método de instalación que fue añadido «Flatpak». Para ello deben contar con el soporte para este tipo de paquetes.

La instalación se hace tecleando:

flatpak install flathub org.mozilla.firefox

Para el resto de las distribuciones de Linux, pueden descargar los paquetes binarios desde el siguiente enlace.

from Linux Adictos