10:38
10/5/2013

Akcja jak na filmach; pejzaże ulic w 24 krajach, jest morderstwo — zaledwie 23-letni szef grupy złodziejaszków znaleziony martwy na Dominikanie; jest monitoring miejski, który nagrywa jeżdżących od bankomatu do bankomatu “mułów”, jest także naiwność; złodzieje pozują do zdjęć z torbami pełnymi pieniędzy. I wszystko to dzieje się w przeciągu kilku godzin…

40 milionów dolarów wyciągnięte z bankomatów jednego dnia

Ta niesomowicie duża i precyzyjnie skoordynowana akcja miała miejsce w grudniu 2012 (5 milionów dolarów z 4500 bankomatów) i lutym 2013 (40 milionów dolarów). W samym tylko Nowym Jorku, zaledwie 8 złodziejaszków wyciągnęło jednego dnia w ciągu 10 godzin aż 2,4 miliona dolarów z 2904 bankomatów. Ale udało się ich namierzyć i wczoraj postawiono zarzuty.

bankomat

bankomat

Włamanie do agentów rozliczeniowych

Wszystko zaczęło się od ataku komputerowego na centra 2 agentów rozliczeniowych obsługujących karty płatnicze (debetówki Mastercard i Visa) jednego indyjskiego, drugiego amerykańskiego. Dzięki uzyskanemu dostępowi atakujący mogli zmienić wysokość przypisanych do karty środków i podnieść limity wypłat z prepaidowych kart wydawanych przez m.in. RakBank (Zjednoczone Emiraty Arabskie) oraz Bank of Muscat (Oman). To pozwoliło im w nieograniczony sposób korzystać z funduszy na przypisanych do kart kontach. Wykradziono tylko 5 numerów kart od indyjskiego i 12 od amerykańskiego agenta rozliczeniowego…

Warto tu zauważyć, że ofiarą nie są klienci banku — to nie ich karty, ale “anonimowe” przedpłacone karty były celem ataku. Środki pochodziły więc z rezerw bankowych, a nie rachunków konkretnych klientów — to bardzo sprytna zagrywka, bo żaden “żywy” człowiek nie mógł wpaść w panikę i poinformować bank o podejrzanych transakcjach.

Dane 5 wykradzionych kart zostały rozesłane do 20 krajów, gdzie współpracownicy zakodowali ścieżki na paskach magnetycznych lewych kart, które następnie rozdawali osobom odpowiedzialnym za objeżdżanie bankomatów i pakowanie gotówki do plecaków.

Zdjęcie wykonane z wykardzionymi pieniędzmi przez 2 z objeżdżających bankomaty "mułów"

Zdjęcie wykonane z wykardzionymi pieniędzmi przez 2 z objeżdżających bankomaty “mułów” (fot. NYT)

Jeśli przeszło wam przez myśl, że człowiek z plecakiem pełnym gotówki, może wpaść na pomysł nie oddania jej w całości “mózgowi” operacji, to dobrze kombinujecie. Ci którzy wykradli numery kart, monitorowali ich historię transakcji — dzięki czemu od razu wiedzieli, który z “obsługujących” bankomaty złodziejaszków postanowił okraść okradającego ;)

Co ciekawe, największe żniwo zebrała Japońska gałąź szajki — a to ze względu na to, że w Japonii niektóre bankomaty pozwalają na jednoczesną wypłątę aż 10 000 dolarów.

Przyczyna zamieszania – pasek magnetyczny

Ale nie wysokie limity na bankomatach są tutaj bezpośrednim powodem tak wielkiego łupu zdobytego w tak krótkim czasie. Winy należy upatrywać w przestarzałej technologii płatniczej, pasku magnetycznym, który pozwala na wykonanie klonu karty (jedną kartą fizycznie nie dałoby się rady “obskoczyć” tylu bankomatów w ciągu kilku godzin).

Sklonowanie nowszej generacji kart (tych z z chipem), o ile teoretycznie możliwe, to nie jest w praktyce opłacalne. Pytanie należy jednak postawić następująco: czy rzeczywiście trzeba klonować chip, skoro właściwie wystarczy znaleźć bankomat, który rozpoznaje i uwierzytelnia kartę przez odczyt paska, a nie chip?

Morderstwo w tle

Mózg stojący za całą akcją uciekł na Dominikany, gdzie został zastrzelony przez 2 zamaskowanych mężczyzn — nie wiadomo jaki był powód, ci którzy oddali strzały nawet nie tknęli koperty zawierającej 100 000 dolarów, którą mężczyzna miał przy sobie…

Policja nie ujawnia jak namierzyła mułów, ale zdradza, że posiada nagrania z monitoringu — zapewne to zgubiło “wybieraczy” gotówki z bankomatów. To pewnie nie koniec sprawy, ciągle nie wiadomo co z osobami, które czyściły bankomaty poza USA…

Przeczytaj także:

39 komentarzy

Dodaj komentarz
  1. ładne środki na tych 5 kartach musiały być

    • ” atakujący mogli zmienić wysokość przypisanych do karty środków”
      takie środki jakie złodzieje chcieli.

    • “Środki pochodziły więc z rezerw bankowych”
      Czytanie ze zrozumieniem się kłania.

    • I też nie tylko 5 kart było

      “…Wykradziono tylko 5 numerów kart od indyjskiego i 12 od amerykańskiego agenta rozliczeniowego…”

      Razem chyba 17 jak się nie mylę :D

  2. @jan, chyba nie do końca zrozumiałeś tekst:

    “Warto tu zauważyć, że ofiarą nie są klienci banku — to nie ich karty, ale “anonimowe” przedpłacone karty były celem ataku. Środki pochodziły więc z rezerw bankowych, a nie rachunków konkretnych klientów…”

  3. Historyjka ładnie się zaczęła, a potem nagle urwała. Co dalej? Co z tym nagrywaniem “mułów” i martwym szefem?

    • +1

    • +1

    • DLC dalszej historii – 5 dolarów ;)

    • “Dalsza część artykułu już wkrótce!” lub “Kolejna część artykułu dostępna już za 9,99zł” :)

    • Damn, GvS był szybszy.

    • przypomniał mi się film Las Vegas Parano, jeśli ktoś w
      ogóle wie o co chodzi

  4. pytanie konkursowe, do wygrania czapka śliwek:

    – czy zamalowanie/inne uszkodzenie paska na karcie zabezpieczy ją przed skimmerami?

    • Tak, a co więcej zabezpieczy ją nawet przed Tobą. Takie dwa w jednym.

  5. @Lech dokładnie o to samo chciałem zapytać, dostajemy garść informacji, żadna z nich nie jest rozwinięta, nie wiadomo jak złodzieje wpadli co się stało z szefem etc.

    prosimy o rozwinięcie

    • Wpadli przez monitoring.
      Szefa zastrzelono, panowie w kominiarkiach, koperta z 100 000 w banknotach nie została mu skradziona.

  6. literówka: niesomowicie

  7. A co agent rozliczeniowy ma do limitu na karcie czy salda karty? Przecież tym zarządza issuer, a nie acquirer…

  8. Na swojej karcie mam uszkodzony pasek magnetyczny.. Dzieki temu widze jak wiele bankomatow w Polsce wciaz nie ma obslugi kart z chipami… masakra!

  9. Łapię się za głowę za każdym razem jak czytam o “zabezpieczeniach” kart płatniczych. Zwłaszcza jako osoba śledząca losy Bitcoina.

  10. Zaintrygowala mnie kwestia paska i chipa na jednej karcie. Co w przypadku zaklejenia chipa na karcie z chipem i paskiem?
    Bankomat lyknie taka karte?

    POSy lykaja i puszczaja tranzakcje przy uszkodzonym chipie, sprawdzone ;)
    Bankomat z uszkodzonym chipem nie ale jak by go zakleic, tak zeby bankomat w ogole nie chcial polechtac go pinami czytnika? ;)

    • ale to jak puszczają?
      Jak skanuje pasek to karze włożyć, czyli jak po włożeniu nie odczyta chipa to można jeszcze raz paskiem i wtedy przejdzie?

    • sprawdzałem jak dostałem ostatnio kartę…
      Bankomat powie nam, że “nie można zrealizować transakcji”
      i tyle :>

    • Na karcie jest informacja, że posiada chip, jeżeli bankomat
      obsługuje chip ale nie uzyska z niego danych to
      pozamiatane

  11. @Rafal
    Fallback do magstripe’a dla terminali to rzecz normalna.
    Co do bankomatu – nie wiem czemu miałby się zachowywać inaczej niż terminal (no poza tym, że weryfikacja PINu jest wymuszana). Niestety jedyna osoba która się znała na bankomatach się nam zwolniła i nie mam kogo spytać ;)

    • Na bankomatach (i w terminalach samoobsługowych)
      obsługujących karty procesorowe, fallback do paska jest zabroniony
      przez Visa i MC

  12. Inteligentni Ci, którzy pakowali pieniądze ;]

  13. Mastercard i Visa wysłali krótką i konkretną wiadomość. Dlatego koperta została przy denacie.

  14. Uciekł na Dominikanę – bo to wyspa, ucieka się na wyspę, a nie do wyspy.

    • jutro lecę na Irlandię, powiem wszystkim współpasażerom żeby im się nie myliło

  15. Ta cała historyjka kupy się nie trzyma, albo tak źle opowiedziana.

    “W samym tylko Nowym Jorku, zaledwie 8 złodziejaszków wyciągnęło jednego dnia w ciągu 10 godzin aż 2,4 miliona dolarów z 2904 bankomatów.”

    Zaledwie? 2904/8 = 363 bankomatów na jednego
    10 godzin => 36000/363 = 99 sekund na jeden bankomat
    Tyle to trwa operacja przy bankomacie nie mówiąc o szukaniu nowych.
    To ilu tych mułów było tak naprawdę?

    Z każdego wyciągnęli średnio $827….słabe te limity ustawili.

    Kto ucieka na Dominikanę? Tam można kulkę za darmo zarobić.
    A może te 100 000 w kopercie to fałszywki były?

    Jedyny morał z tej historii taki: jako szef, do każdej roboty dobieraj sobie zaufanych i inteligentnych ludzi.

  16. Raczej zle przetlumaczone ;) u zrodla jest takie oto zdanie: “In New York City alone, the thieves responsible for A.T.M. withdrawals struck 2,904 machines over 10 hours starting on Feb. 19, withdrawing $2.4 million.”

  17. Jak wyglada sytuacja szyfrowania danych powyżej 256 bitami.
    Czy do tego wymagane jest specjalne uprawnienie/licencja? (chodzi tutaj o to czy jest to nielegalne)

    Jedna osoba próbuje mi to wmówić.

    • śmiem wątpić-poza tym 256 bit aes z mocnym hasłem o podobnej entropii jest teoretycznie i praktycznie (dopóki nie znajdzie się jakaś podatność matematyczna w AES’ie) nie do złamania metodą brute force-nie ma co się pchać w truecryptowe szyfrowanie kaskadowe

  18. “Mózg stojący za całą akcją uciekł na Dominikany, gdzie został zastrzelony przez 2 zamaskowanych mężczyzn” – na 99% osoby “zwiazane” z bankami, ich wewnetrzna straz. Przeciez sa to organziacje czysto przestepcze, wiec nie byloby to zaskoczeniem. Stad nie ruszyli pieneidzy. Celne ostrzezenie.

    • Ta, albo szef sam się zastrzelił i poszedł dalej.

  19. white hat-do poczytania:
    http://money.cnn.com/2013/05/15/technology/security/bank-heist/index.html

  20. oj tam oj tam, uciekł na Dominikanę, a nie na Dominikany
    nie dlatego, że to wyspa, tylko dlatego, że ten kraj to Dominikana
    :) Dlatego jedzie się na Dominikanę, a nie na Dominikany. Czy to
    wyspa, czy nie wyspa – to nie ma żadnego znaczenia. Ot, i po
    sprawie.

  21. “Winy należy upatrywać w przestarzałej technologii płatniczej, pasku magnetycznym, który pozwala na wykonanie klonu karty (jedną kartą fizycznie nie dałoby się rady “obskoczyć” tylu bankomatów w ciągu kilku godzin).”

    Że też tak trudno wpaść na pomysł, żeby centra autoryzacyjne znały współrzędne każdego bankomatu na świecie i wyliczały że np. niemożliwe jest żeby w przeciągu kilku minut wypłacać na dwóch końcach miasta albo w ciągu godziny wyjąć kasę z urządzeń oddalonych od siebie o tysiące kilometrów…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.