9:17
21/9/2011

Przestępcy wpadli na pomysł, jak dorabiać idealnie dopasowane skimmery, czyli nakładki na bankomaty. Korzystają z drukarek 3D.

Druk 3D

Brian Krebs, który nota bene będzie gościem tegorocznej SECURE 2011, informuje, że pewien gang przestępców okradał bankomaty dzięki skimmerom wydrukowanym w 3D. Jak można się domyślić, idealne dopasowanie skimmera do bankomatu to jeden z kluczowych elementów ataku. Tu nie ma miejsca na kiepskie wykonanie — gorszej jakości skimmer szybciej zostanie odkryty i usunięty z bankomatu, co oznacza mniej wpływów do złodziejskiej kieszeni.

Problem w tym, że za wykonanie dobrej jakości zestawu do skimmingu, podziemne łotry życzą sobie od 6 do 60 tys. złotych (za sztukę). A drukarki 3D można kupić już od 60 tys. i wykorzystać wielokrotnie. PROFIT! Aby zrozumieć na czym polega technika druku 3D, rzućmy okiem na instruktażowy film od i.materialize:

Co ciekawe, ktoś rok temu poprosił i.materialize o wykonanie skimmera. Podobno odmówili ;) Zamawiający druk 3D podesłał wtedy takie pliki:

ATM skimmer 3D render

Skimmer - model do druku 3D

Ciekawe kiedy skimmerzy przerzucą się na drukowanie fałszywych bankomatów? ;)

Przeczytaj także:



35 komentarzy

Dodaj komentarz
  1. Fałszywy bankomat – to jest myśl! Tylko trzeba od razu iść o krok dalej i drukować fałszywą kasę, żeby klient od razu się nie połapał, że ATM jest nie tego ;)

    • Niekoniecznie. Wystarczy po wpisaniu PINu wyświetlić jakiś komunikat błędu, zwrócić kartę i problem z głowy :).

  2. Ostatnio gazeta peel pisała o wydaniu kserokopii banknotu z bankomatu ;p

  3. Wyjściem jest wlot na kartę bez nakładki. Musiałby to być wlot bez elementu wystającego (nakładki) dodatkowo z czujnikiem przyklejenia czegokolwiek. Może niektórym trudniej byłoby utrafić kartą w taki wlot, ale za to nikt niczego by nie nałożył, a nawet jeśli to bankomat wyłączyłby się (pozostałby włączony, ale nieczynny) aż do usunięcia skimmera. Z kolei przed wysadzeniem bankomatu może obronić reagujący na ciśnienie wyzutnik czerwonego płynu zalewającego gotówkę (przed wysadzeniem nie obroni, ale zniszczy większość gotówki). Jak wiadomo wybuch zwiększa ciśnienie i tak to mogłoby działać.

    • Pewien nie jestem ale słyszałem że celowe niszczenie pieniędzy jest karalne.

  4. Jakaś kamera powinna regularnie ‘skanować’ powierzchnię bankomatu i porównywać z fotografią w bazie – jeżeli występują różnice, bankomat jest nieczynny (więc i zasłonięcie kamery dezaktywuje bankomat). Wiem, że to takie proste myślenie i pewnie w praktyce jest 99 przeszkód w zastosowaniu tej techniki. Jeżeli chodzi o interwały czasowe – wystarczy czujnik ruchu wykrywający, czy przed bankomatem ktoś stoi. Jeżeli nie stoi, to kamera robi zrzut i porównuje z obrazem w bazie/pamięci. Choć domyślam się, że znaleźli by się dowcipnisie, którzy specjalnie przylepili by nalepkę na bankomat, byle go “do jaj” dezaktywować :/ dlatego najlepiej, żeby tylko okolica slotu była porównywana. Alarmy mogły by być zgłaszane automatycznie do jakiejś centrali i ktoś tam od bezpieczeństwa sprawdzał by, czy należy wysłać na miejsce ekipę, czy ktoś tylko nalepił obrazek obok slotu (choć ekipa powinna i tak przyjechać i go usunąć).

    • Musisz zważyć, że całościowy threat model banków i fascynacje niebezpieczników nie są tym samym zbiorem

    • W PKO BP mają taki system. W 99% procentach bankomat w moim mieścien ie działa

  5. Wlasnie obejrzalem kilka skimmerow w necie. I nasuwa mi mysl – wina ze skimmery dzialaja z powodzeniem lezy tylko po stronie porducentow bakomatow. Otoz powinni oni wyznaczyc jednolity standard czytnika kart i strefy wokol niego. Identyczny w kazdym bankmacie i latwo rozpozanawalny bedzie trudnym elemetem do przeskoczenia.

    Obecenie mamy ewolucje przeróżnych form i materiałów do wykonczenia, dzieki czemu skimmery idealnie wpasowuja sie do w ten floklor.

    • Dokładnie! Od dawna to powtarzam.

    • Zgadzam się i powtarzam, że czytniki powinny być bez nakładek. Jedynie podświetlony otwór w obudowie. Temat warto będzie poruszyć na konferencji Central European Electronic Card CEEC 2011.

    • Owszem, standaryzacja ‘slotów’ powinna załatwić sprawę, tylko że…
      Ludzie musieliby wiedzieć, jak dokładnie powinien taki otwór na kartę wyglądać. Jeśli tego nie wiedzą, to KAŻDA nakładka zadziała. Zupełnie jak do tej pory…

    • To tez nie jest problem, wystarczy wyswietlac na ekranie przy probie wlozenia karty zamiast durnych reklam itp jak taki slot powinien wygladac. Takie rozwiazanie nawet ogranicza potrzebe robienia jednolitego standardu.
      Klient klika przycisk slot na karte wyglada identycznie jak na obrazku… I jednoczesnie mamy ‘dupochron’ :)

  6. skad info o czarnorynkowych cenach? ;)

  7. Może wystarczy aby bankomat przed pobraniem pieniędzy wyświetlał na ekranie jak powinien wyglądać slot na kartę. Wtedy każdy rozgarnięty człowiek zauważył by nakładkę.
    Hmmm….. chyba muszę to opatentować ;)

    • Takie coś już kiedyś widziałem, rzadko bo rzadko ale jest. Tylko był też na Niebezpieczniku artykuł o skimmerach wyglądających jak nakładki antyskimmerowe – obłęd jakiś…

    • Takie info wyświetlają bankomaty BZ WBK.

  8. Jeśli się nie mylę, to EuroNet’y mBanku mają przezroczyste nakładki z podświetleniem, a te pudła spod znaku EuroNet nie mają w ogóle żadnej nakładki. Moja karta wykorzystuje tę sieć i muszę przyznać, że każdy bankomat w mieście wygląda nieco inaczej. Pomimo tego, zawsze wyświetla się animowany obrazek przedstawiający slot karty. Dodatkowo, korzystam z info-SMS, przy każdej zmianie sald na kontach (jak jest, to czemu nie używać? ;)

  9. Tylko dlaczego banki/instytucje zarządzające bankomatami mają siać histerię pokazując że może ktoś obrobić konto klientowi( pokazywanie jak wygląda prawdziwy czytnik i porównać czy się zgadza z oryginalnym) .Lepiej chować głowę w piasek u udawać że wszystko jest OK , a wpływy z reklam są, jeżeli ktoś odejdzie od bankomatu bo zauważy “coś” innego niż powinno być to odejdzie i pójdzie do innego (i dana sieć /bank traci). Jak byście się przypatrzyli , to wielu ludzi korzysta z usług dzieci i wnuczków (ja jestem za stary na takie nowinki , a wnuczek da radę i dostanie na loda) i zabezpieczenia idą w d….. , dla banków liczy się rachunek zysków i strat, jest na + to dobrze , afera z skimmerem ? to nas nie dotyczy (tak pewnie myślą banki) , może klient podał pin nie tej osobie co trzeba (przecież wina zawsze jest klienta).
    pozdrawiam

    • Myślisz, że dla banku takie kradzieże są korzystne? Nie są i dlatego powinny sprawdzać bankomaty. W przypadku niezależnych operatorów typu Euronet, Cash4You wyjściem jest uświadomienie klientów jak ma wyglądać wlot na kartę. Co więcej gdyby bankomat miał czytelny numer identyfikacyjny to klient mógłby łatwo zgłosić, że bankomat jest na lewo zmodyfikowany.

      PS
      Kiedyś dzwoniłem do BZ WBK, że ich bankomat (wolnostojący Diebold) ma nakładkę skimującą. Potem okazało się, że to prawidłowa nakładka, ale wyglądała tak, jakby była nałozona. Zastanawiam się, czy obyłoby się bez takiego wystającego elementu. Miewam nawet wrażenie, że przez niektóre nakładki (jak te okrągłe w bankomatach Euronet) nawet trudniej wkładać kartę.

  10. A może tak dookoła czytnika zamontować wychodzące ze środka bankomatu pręciki które wysuwałyby się co jakiś czas i w ten sposób “zdejmowały” nakładki(pomysł oparty o urządzenie do niszczenia grafiti z pewnego znanego filmu).

    W sumie nakładka z otworkami by to przeszła, więc chyba tylko wyświetlanie jak powinno to wszytko wyglądać.

    Fałszywy bankomat to już wyższa szkoła jazdy i żeby zabezpieczyć klientów banki by musiały po włożeniu karty sprawdzać podpis bankomatu, ale to by działało tylko w obrębie bankomatów danej sieci.

    • I całe sprawdzanie i ewentualne blokowanie musiałaby realizować karta więc jeszcze nie prędko coś takiego powstanie(pewnie wcale).

  11. dobrze jest miec karte z chipem a nie paskiem magnetycznym

    • a który bank ma tylko kartę z chipem bez paska? A który bankomat jest tylko na karty z chipem? proces wkładania karty z chipem czy bez w przypadku bankomatu niczym się nie różni, pin do paska i do chipa jest ten sam, więc nie ma różnicy

    • Zdaje się, że w Inteligo można wyłączyć obsługę paska.

  12. Karty z chipem i tak mają pasek… więc to żadne zabezpieczenie.

    • Pozostaje udostępnienie możliwości deaktywacji paska. Jak ktoś się uprze mógłby go rozmagnesować, ale z kolei taka karta mogłaby być uznana za uszkodzoną. Zresztą w terminalach elektronicznych transakcja paskiem nie przejdzie, sprzedawca najpierw z przyzwyczajenia wkłada do czytnika magstripe a potem musi wkładać do czytnika EMV (niektórzy już wiedzą, że karta z chipem powinna iść od razu do czytnika EMV). Jest jednak szansa na odejście od magstripe, bowiem karty chipowe na dobre wchodzą do ojczyzny kart płatniczych, czyli do USA http://prnews.pl/michal-kisiel/karty-mikroprocesorowe-wkrotce-takze-w-usa-63698.html. Oczywiście wiadomo, że chip też jest podatny na pewne ataki, jednak skimmingu nie ułatwia i otwiera drogę do rezygnacji z paska. Jesli w USA upowszechni się EMV pasek magnetyczny może zniknąć z kart w przeciągu kilku lat. Rynek USA i w jakimś sensie także europejski wyznacza przecież trendy światowe, przynajmniej jesli chodzi o karty międzynarodowych organizacji płatniczych.

      PS
      Co ciekawe chipa nie ma najbardziej ekskluzywna karta Visa przeznaczona dla najzamożniejszych klientów, czyli Visa Infinite. Nie mają go też karty American Express (z wyjątkiem AMEX Blue). Permanentnie bezchipowa i bez technologii zblizeniowej jest wreszcie karta Diners Club (najstarsza organizacja kartowa na świecie, od lat jest to karta dla zamoznych nie wszędzie akceptowana).

    • American Express (zwykla) ma chip i pasek, a przynajmniej wydana w UK posiada obydwa.

  13. To ja dorzucam pomysł: Fałszywe banki! Drukujesz najpierw jedną ścianę, potem drugą itd., można nawet sobie wyprodukować rośliny doniczkowe, jak ktoś ma ochotę – takie prawdziwe w banku mogłyby wyglądać aż nazbyt podejrzanie. W nocy ładujesz to na ciężarówkę, a następnego dnia przy jakiejś znanej ulicy nagle pojawia się bank. Bonusowe punkty przyznawane są za przerobienie istniejącego sklepu (można go okleić takimi elementami 3D od zewnątrz i od środka). Wstawiasz do środka fałszywe bankomaty, podrobionych urzędników szkolonych w social engineeringu (tu akurat plastikowi z drukarki nie są zalecani!), nawet można postawić ochroniarza dla poczucia bezpieczeństwa. I nic już klientów nie ochroni…

  14. Przypominam dokument “Czeski Sen”

    http://www.filmweb.pl/Czeski.Sen

    Tutaj udało się oszukać ludzi stawiając “wirtualny” supermarket, więc pewnie z takim wydrukowanym bankiem z bankomatem by się bez problemu udało ;)

  15. […] marginesie, z drukarek 3D korzystają także skimmerzy …i niestety, całkiem nieźle im to […]

  16. BZWBK od jakiegoś czasu wyświetla obraz w jaki dziura na kartę ma wyglądać ;) i widnieje tam napis w stylu “Jeśli czytnik czymś się różni od tego nie wkładaj karty”. Może mieli jakiś problem ze skrimmerami ? :)

  17. Przy okazji warto wspomnieć o tym, że mbank wszystkimi 16-ma łapami broni się przed odpowiedzialnością za skimming, nawet jeśli wykupimy dodatkowo płatne ubezpieczenie.

    Innymi słowy: w przypadku kradzieży pieniędzy z karty debetowej/kredytowej to klient musi udowodnić bankowi, że nie jest wielbłądem sześciogarbnym…

  18. […] widać, wcale nie trzeba inwestować w drukarkę 3D i domową produkcję skimmerów — wystarczy klej. Jeśli kiedykolwiek bankomat wypłaci Wam za mało gotówki — […]

  19. […] …nie wspominając już o tym, że na tego typu drukarkach można także drukować pistolety, idealnie dopasowane skimmery do ataków na bankomaty. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: