Скиммеры. Не все банкоматы одинаково полезны

[Suren]

Скиммеры. Не все банкоматы одинаково полезны

Илья Ксензов, 12 марта 2008

Задумываетесь ли вы о безопасности денег на вашей пластиковой карте, когда снимаете с неё деньги в банкомате? Думаю, многие из пользователей пластиковых карт знают элементарные правила безопасности: не давать её чужим людям в руки, не записывать PIN-код в доступных другим людям местах, быть внимательным при совершении покупок в магазинах и через интернет. Однако, не многие знают, что даже снимая наличные в банкомате, данные вашей карты находятся под угрозой!

Дело в том, что изготовить копию пластиковой карты, даже чипованной, не так уж и сложно, это занимает всего несколько секунд на считывание магнитной ленты или чипа, несколько минут на копирование этих данных на другой носитель и нанесение ленты на другую пластиковую карту. При наличии нужных инструментов, вся операция занимает всего 15-20 минут. Однако, не зная PIN-кода, с этой карты нельзя будет снять наличные деньги в банкомате, то есть, фактически она бесполезна.

Каким образом злоумышленник может узнать PIN-код? Есть множество способов, но все они основаны, грубо говоря, на глупости и невнимательности пользователя карты, кое-кто даже записывает этот код на самой карте!
Но даже если карту вы используете только в родных банкоматах банка, в котором вы эту карту получили, есть большой шанс того, что спустя полчаса после снятия денег вами, копией вашей карты уже воспользуются в другом городе или даже в другой стране! Каким именно образом? – с помощью скиммера!
Что такое скиммер

Итак, скиммер (от английского skim – снимать) – это специальное устройство для считывания данных с магнитной ленты или чипов карт. Сами по себе они не несут мошеннической функции, данные с карты считывает и банкомат, и терминалы оплаты, однако, в руках мошенников такие устройства ловко устанавливаются на карточную щель банкомата, маскируются по форме и цвету, и записывают данные всех карт, которые проходят через этот банкомат!


Слева - оригинальная щель для пластиковых карт. Справа - накладка скиммера.

Посмотрите: слева – оригинальная карточная щель одного из банкоматов, а справа – с установленным скиммером. Скажите честно, вас бы она смутила? Даже если человек пользуется одним и тем же банкоматом на протяжении долгого времени, наверняка он просто подумает, что банк сам приделал какой-то новый «прибамбас» к своему банкомату!

Однако, выше я уже рассказывал, что даже точная копия карты не позволит снять с неё наличные в банкомате, для этого необходим PIN-код, но и его злоумышленник узнает, если вы введёте его в банкомате со скиммером, для этого придумано даже несколько способов!


Скрытая видеокамера мошенников для фиксации пин-кода

Смотрите, чёрной стрелочкой указана миниатюрная камера, спрятанная в подставке для листовок, она направлена прямо на клавиатуру! Мошенники просто видят на экране, какие цифры вы вводите! Однако, это не очень надёжный способ, положение камеры должно зависеть от того, каким пальцем и какой рукой человек набирает код. Поэтому мошенники придумали другой ход – имитатор оригинальной клавиатуры.


Накладка на оригинальную клавиатуру для фиксации пин-кода

На фото слева клавиатура не установлена, а на фото справа уже видно и установленную клавиатуру, и скиммер на щели картоприёмника. Думаю, только знатоки моделей банкоматов заподозрят неладное, остальные же сунут карту, введут PIN, и распрощаются со своими деньгами навсегда.

Накладная клавиатура работает ещё проще, чем скиммер, она просто запоминает, какие клавиши были нажаты, и в какой последовательности. Нажатие клавиши на имитаторе передаётся и на обычную клавишу под ней, просто клавиатура-фальшивка служит определённым буфером.

Далее, считанные таким образом данные карты и PIN-код либо передаётся злоумышленникам по беспроводной связи, либо они сами, после каждого «клиента» подходят к банкомату и списывают с устройств данные. При этом мошенники могут находиться недалеко, например, сидеть в машине, наблюдая за тем, как очередная жертва сама открывает им доступ к карточному счёту.
Как защититься

К сожалению, никак, тут важна внимательность и опыт. Если вы часто снимаете деньги в одном и том же банкомате, и вдруг обнаруживаете странные «выпуклости» на месте картоприёмника, то лучше не пользуйтесь данным банкоматом, а ещё лучше – оповестите службу поддержки банкомата, телефон должен быть указан на вашей карте и на самом банкомате.

Если карту вы уже вставили, но PIN-код не успели набрать – ничего страшного, даже скопировав карту, мошенники в лучшем случае заблокируют её, сделав три попытки подобрать код. А если неладное вы заподозрили, уже набрав код, то закончите операцию, и заблокируйте карту, позвонив в банк, или сами набирайте ошибочный PIN-код, пока банкомат не заблокирует вам карту за попытку подбора кода. Других способов, увы, нет.

Только не вздумайте сами трогать скиммер, как уже говорилось выше, мошенники могут быть где-то рядом, могут и покалечить, ведь такой комплект устройств на чёрном рынке стоит от $3500. Кстати, забыл добавить: обычно, скиммеры устанавливаются в ночное время на достаточно популярных банкоматах в центре города, хотя в спальных районах они тоже встречаются.

Увы, вернуть деньги, украденные таким способом, будет не так-то просто, ведь вина целиком на мошенниках, а значит, пока их не поймают – деньги вам не вернут! А поймать будет сложно, ведь дубликаты карт как правила делаются совсем в других городах и странах, где и снимаются деньги, география очень обширна, что запутывает всё дело с поимкой преступников.

 

[Suren]

Свеженькое

Найден способ обхода методов авторизации чиповых банковских карт
Дата: 12.02.2010
Исследователи из Кембриджского университета обнаружили фундаментальную уязвимость в протоколе EMV (Europay, MasterCard, Visa), который лежит в основе процесса авторизации дебетовых и кредитных карт, выпущенных по технологии “chip-and-PIN”.

В итоге было создано устройство, способное перехватывать обмен данными между картой и терминалом и посылать терминалу сигнал о том, что процесс авторизации пройден. В ходе последующих испытаний устройства ученым удалось авторизовать чиповые карты шести эмитентов без необходимости ввода правильного PIN. Несмотря на то, что вводить сам четырехзначный PIN все же пришлось, терминал принимал любое сочетание цифр.

По словам авторов работы, для создания такого устройства требуются лишь самые элементарные инженерные навыки и базовые навыки программирования.

Дело в том, что большинство транзакций требует авторизации по PIN. Клиент вводит идентификационный номер в устройство ввода, после чего тот отсылается на карту и сравнивается со значением PIN, хранящимся в ее чипе. Если PIN-коды совпадают, карта отсылает терминалу код подтверждения правильности (0x9000), завершая тем самым процедуру проверки подлинности.

Исследователям удалось создать устройство “man-in-the-middle”, которое считывает данные с карты и в нужное время посылает терминалу код подтверждения 0x9000, причем делает это вне зависимости от того, какой PIN был введен.

Чтобы продемонстрировать работоспособность своей схемы, исследователи вставили подлинную чиповую карту в кард-ридер Alcor Micro, который был соединен с ноутбуком, выполняющим скрипт на языке Python. Сам ноутбук через последовательный порт был присоединен к программируемой плате Spartan-3E Starter Kit, используемой для конвертации интерфейсов банковской карты и ПК.

Плата, в свою очередь, была соединена с интерфейсным чипом Maxim 1740, который был связан тонкими проводами с поддельной банковской картой, которую исследователи вставили в терминал.

После того, как карта была вставлена, скрипт на ноутбуке перехватил транзакцию, подавил отправленный терминалом запрос на подтверждение PIN и выдал в ответ код подтверждения 0x9000.

По словам авторов работы, злоумышленники могут пронести аналогичный аппаратно-программный комплекс в рюкзаке, а провода спрятать в рукаве. Это даст им возможность использовать для совершения покупок или перевода денег краденные действительные карты.

 

[Nikki]

Suren,мне все страшнее и страшнее. В мегаполисе у нас хотела купить шмотки и дала продавцу карту, ей пин не понадобился, я грю, а пин не надо, она сказала, что у меня карта без чипа, так мол деньги снимем... я не согласилась испугалась чегой-то..

 

[Suren]

Nikki, Вот ещё статейка, про инет магазины: https://www.drahelas.ru/showthread.php?p=98251#post98251

Правда сам ещё не прочитал, на потом оставил

 

[Костяныч]

а мне пофиг. я в салехарде никогда не прикрываюсь. набираю пин код при всех.
есть такие люди,я их гипнотезёрами называю, встанут у банкомата и начинают тыкать пальцем кнопки. причём они не понимают что они делают. тыкают, тыкают, потом читают чеки очень долго не отходя от банкомата или стоят и смотрят долго на экран(ну гипнотизируют) с открытым ртом. но самое смешное, когда они стараются прикрыть всем телом кнопки при наборе пин-кода. и ещё по сторонам смотрят. а я специально делаю заинтересованый вид. они потом идут и на меня оглядываются. ржачно всё это. мне пофиг мой пин-код карты 1446. пользуйтесь господа!!!!!

---------- Добавлено в 09:21 ---------- Предыдущее сообщение было написано в 09:16 ----------

кстати я над охранниками в магазах люблю прикалываться. вот встанут между стилажами и давай следить за тобой. я сразу начинаю между стилажами ходить. он в одну сторону за мной я тут же в другую. когда до него доходит весь смысл происходящего он отваливает.

 

[lehis]

мне пофиг мой пин-код карты 1446.

номер карты в студию!!!

 

[Костяныч]

номер карты в студию!!!

я ещё с кровати не вставал. помню последние цифры 5595. потом напишу

 

[SenJa]

Бывали случаи с гипнотезерами. Пара с ребенком стоят у банкомата, две карты, обе у нее. Она протягивает первую карту мужу, тот запихивает ее в банкомат и ждет пока жена введет пин. Далее она показывая на экран комментирует какие кнопки надо нажимать. Он послушно набирает. Таким образом была оплачена коммуналка. Далее он возвращает ей карту, получает вторую. После ввода женой пина с похожими комментариями был оплачен телефон. Во время этих процедур было внимательно прочитано 5 или 7 чеков, которые отправились, естественно, Ей в бумажник. На протяжении всего действа ребенок, едва доросший до клавиатуры банкомата ноет: "Ну хватит уже... Ну пошли домой..." и пр. на что получал жесткое "Молчи. Видишь деньги переводим!"
Получив последний чек, внимательно его вычитав (после изъема карты), естественно, перед банкоматом, медленно отходят. Я быстренько запихиваю карту, и в этот момент звучит сокраментальное:
"Му же денег не сняли"!