19:01
2/1/2014

Folia aluminiowa w rękach złodzieja kojarzy się głównie z wyłożoną nią torbą “na fanty”. Schowane w takiej torbie produkty są de facto zamknięte w klatce Faraday’a i “niewidzialne” dla sklepowych bramek. Ale okazuje się, że jest jeszcze jedno złodziejskie zastosowanie folii aluminiowej…

FBI ostrzega sklepy przed ludźmi z folią aluminiową

Jak informuje FBI, w USA zatrzymywani są złodzieje, którzy z folią aluminiową wdrapują się na dachy sklepów. W jakim celu? Aby zakryć nią anteny satelitarne służące sklepom do nawiązania łączności z centrum autoryzacji kart płatniczych.

Tego typu anteny są obwijane folią przez rabusiów

Tego typu anteny są obwijane folią przez rabusiów

Okazuje się, że kiedy “siada” łączność i terminale nie są w stanie online’owo autoryzować transakcji, część ze sklepów podejmuje ryzyko (zapewne nie zdając sobie nawet z tego sprawy) i dalej pozwala klientom płacić kartami, ufając, że transakcje zostaną rozliczone, kiedy łączność zostanie odzyskana Nic bardziej mylnego…

Przekręt polega bowiem na tym, że złodzieje po unieszkodliwieniu anteny wchodzą do sklepu i kupują w nim sprzęt płacąc kradzionymi (często już dawno zablokowanymi przez bank) kartami. Płatności dalej działają, ale w trybie offline, nie online. Krótko mówiąć, folią aluminiową wymuszają rozliczenia offline terminala sklepowego.

Przypomnijmy, że terminale płatnicze (tzw. POS) są w stanie autoryzować karty zarówno online (wymiana informacji z serwerami banku w czasie rzeczywistym) jak i offline (prośba o obciążenie karty po fakcie sprzedaży, po dokonaniu przez sklep zestawienia trasakcji)

Co ciekawe, o tego typu atakach FBI ostrzega amerykańskich handlowców poprzez …podcast. Funkcjonariusze opublikowali też raport z którego wyczytać można, że para złodziejaszków została zatrzymana i powiązana z co najmniej 600 kradzionymi kartami. Za atakami mają stać głównie afrykańskie gangi, które wyłudzony w ten sposób sprzęt sprzedają na ulicach Nowego Jorku lub wysyłają do Afryki.

Czy w Polsce to się uda?

Ciężko jest nam powiedzieć, czy amerykańskie sklepy, które padły ofiarą “ameliniowych” rabusiów nie posiadały innego sposobu komunikacji niż via antenę satelitarną (bo np. znajdowały się na środku pustyni), czy być może amerykańskie regulacje wymagają tylko i wyłącznie takiego medium w połączeniach z centrum autoryzacji kart płatniczych.

Polskim sklepom tego typu atak raczej nie grozi — większość sklepowych POS-ów albo podłącza się do łącz telefonicznych albo korzysta z sieci GSM poprzez wbudowaną antenę (lub zewnętrzną ale ulokowaną w pobliżu kasy — a taką można sprawdzić prościej niż wdrapując się na dach, chyba, że sprytny złodziej skorzysta z odpowiedniego jammera GSM ;). Dodatkowo w Polsce większość transakcji kartowych jest autoryzowana w modelu Chip & PIN, co wymaga od złodzieja podania poprawnego PIN-u (nie wiadomo, czy w USA złodzieje dysponowali PIN-ami, czy autoryzowali kartę przez podpis).

PS. Na marginesie, niektóre polskie karty pozwalają na wyłączenie transakcji rozliczanych w offline.

Przeczytaj także:

53 komentarzy

Dodaj komentarz
  1. W Zielonogórskim Aldim często jest problem z płaceniem kartą. Transakcje offline nie przechodzą, więc gdy są problemy z płatnością kasjerka rzuca zazwyczaj hasłem “muszę iść zresetować router” i leci na chwilę na zaplecze ;)

  2. Sprytne rozwiązanie, trzeba spróbować

  3. He he, dobre :)
    Musze to przetestowac :))

  4. coś nie bangla powiększanie obrazka; 301 na localhosta mam

    P.S.
    X-Dont-Hack-Us… :D

    • Sprawdź pls, który z dodatków do przeglądarki usuwa Ci User-Agenta przy żądaniu do obrazka i daj znać.

    • A u mnie działa :p

    • Primo, niemożliwe że chodzi którykolwiek z dodatków; wprawdzie mam Ghostery, ale na FF/Chrome, plus O18 (W7@vbox), plus Opera@debian@vbox nie mam żadnych i ten sam efekt; może poimprezowali w OpenDNS :)

      Secundo, już działa, oba.

    • W takim razie może ISP Ci wyciął UA? Ten redirect na localhost jest tylko na requesty bez UA.

  5. “Nic bardziej mylnego…” Oglądacie Polimaty? ;)

    • Oczywiście. Każdy powinien. Zwłaszcza odcinek o technikach przesłuchań ;-)

  6. A co za problem, aby w danej placówce router miał łącze główne i backup po dwóch rodzajach technologii? Że intuicyjnie wymienię ASDL i GSM?

  7. Miedź też tak działa – sprawdzone :-)

  8. W Polsce sklepy głównie korzystają z terminali po łączu telefonicznym lub “zwykłym” internetowym. Zazwyczaj są w sklepach routery (czasem też modemy ADSLowe) i to jest źródło internetu do terminala. Mało który sklep ma router z dodatkowym łączem (np. GSM), więc często wystarczy uciąć kabel i terminal nie ma połączenia. W przypadku sklepów w kamienicach lub wolno stojących, do kabli jest łatwy dostęp…

  9. POSy w Polsce łączące się po telefonie to już raczej rzadkość – zestawienie SSLa przy każdej transakcji trwa zbyt długo…chyba że nie zestawiają to już inna sprawa ;]

    • Większość małych sklepów obsługujących karty korzysta właśnie z łącza telefonicznego. U mnie w mieście ponad połowa małych sklepów, tak działa – mniejsze koszty bo nie trzeba internetu, wystarczy telefon. Rzeczywiście działa to dość wolno bo płatność trwa dużo dłużej niż w większych sklepach, ale nadal to rozwiązanie się sprawdza.

    • Niby czemu zestawianie SSLa (nawet z Mutual Authentication) trwa za długo?
      Pierwsza sesja SSL negocjuje się w czasie potrzebnym do transmisji certyfikatów (przy długich ścieżkach jest to najwięcej zajmująca część) oraz potrzebnym na przesłanie podpisanej odpowiedzi na challenge. Nawet zakładając, że terminal wykonuje te operacje wolniej od PCta, to z reguły całość zamyka się w około 10-12 sekund przy wolniejszych urządzeniach i 5 sekund przy szybszych.
      Kolejne połączenie może być realizowane na tej samej sesji, więc bez pełnego handshake – około 1 sekundy.

  10. “(nie wiadomo, czy w USA złodzieje dysponowali PIN-ami, czy
    autoryzowali kartę przez podpis).” W ciągu ostatniego roku
    wykonałem kilkadziesiąt operacji kartą kredytową w USA i ani razu
    nie musiałem wpisywać pinu. Oni chyba tego systemu w ogóle nie
    znają. Na palcach jednej ręki mogę policzyć operacje, podczas
    których zapytano mnie o ID. W kilku miejscach (stacje benzynowe)
    jako “zabezpieczenie” musiałem podać kod pocztowy (ZIP) – ponieważ
    moja belgijska Visa tego nie ma, działał dowolny numer. Szczytem
    wszystkiego był bankomat, który po włożeniu karty kredytowej
    zapytał o sumę i jak rozliczać (w EUR czy USD), po czym dał
    pieniądze i nic więcej nie chciał. Mam całą masę znajomych
    używających kart w Stanach regularnie i chyba nikogo nie ominęły
    problemy mniejsze lub większe. A to jakiś dziwny zakup się na
    rachunku pojawił, a to komuś w knajpie doliczyli $10 napiwku mimo,
    że dać nie chciał. Z drugiej strony nigdy nie słyszałem by
    Visa/Mastercard nie zwróciły pieniędzy gdy transakcja była
    “podejrzana”.

    • Caly anglosaski system bankowy jest na poziomie sredniowiecza. Ale to kwestia oszczednosci doprowadzonych do absurdu. Oczywiscie jak przychodzi co do czego klient placi – oni sa mili tylko przy mniejszych kwotach. Dlatego np. IT w Citibanku przypominalo jeszcze nie tak dawno groteske: rozwiazania informatyczne rodem z lat 80tych polaczone z logika XIX bankierow. Pa-ra-no-ja. Nie wiem jak jest teraz, bo kontakut juz nie mam.

  11. Ale chyba nasze sądy łaczą się z “bazą” tzn. n.p. rejestrami skazanych poprzez satelitę.

    • Sady działają po sieci gts wiec z ta satelitą niewiele sie pomyliłeś :-)

  12. Zdecydowanie w Polsce też to działa! :) Często spotykam się
    z sytuacją kiedy płacę kartą a pieniądze są ściągane po paru
    dniach, raz liczyłem rekord – dwa tygodnie sciągało mi płatność.
    Więc na bank była akceptowana offline ;) Takim sposobem można
    wykończyć słabszych graczy na rynku i zamykania sklepów ;)

    • A to nie jest po prostu urok płatności zbliżeniowych?

    • Kiedyś płaciłem zbliżeniowo w Empiku za film The Social Network i też kasa została zabrana dopiero po 2 tygodniach. Przez te 2 tygodnie myślałem, że dostałem za free :)

    • Mylisz autoryzację z rozliczeniem.
      Autoryzacja może być online. Rozliczenie dla urządzeń dual message może pojawić się znacznie później, szczególnie w systemach, które nie robią tego automatycznie po stronie hostowej i czekają na clearing terminala.

  13. User Agent Switcher ;-) Może jakiś art. o podmienianiu
    Agenta ? :-)

  14. W Polsce moznaby wiec uzyc jammerow GSM…

  15. Szybka weryfikacja. Terminale płatnicze łączą się po GPRSie. W jednej z firm z ktorej pracowalem, mielismy ekranowany budynek i często terminale pracowały w trybie offline. Wtedy tranzakcje nie przechodziły.

    Zakop. W polsce sie nie uda ;)

  16. Mam w szufladzie kartę z funkcją zbliżeniową, z której zrezygnowałem rok temu. Bank nie prosił mnie o jej zwrot. Karta ma nadrukowaną (nadal aktualną) datę ważności. W Lidlu, z którego korzystam wszystkie transakcje lecą offline. Sprawdziłem: po pierwsze transakcje trwają mniej niż sekundę a blokady w banku często się pojawiają dzień lub dwa po transakcji. Ciekawe co by się stało gdybym użył karty z szuflady. Bank by mnie ścigał? Na jakiej podstawie? Mogłem przecież kartę dawno wyrzucić do kosza. Dodam, że mam świadomość etycznej wątpliwości takiego postępowania – była by to zwykła kradzież. Chodzi mi raczej o hipotetyczną sytuację.

    • Próbowałem kiedyś użyć nieaktywnej karty Alior Sync w żabce zbliżeniowo i normalnie i transakcja została automatycznie odrzucona, więc nie przejdzie :{

  17. kiedys pracowalem w platnosciach i czesto byly awarie i pewnego rodzaju karty nie dzialaly. Dzonilismy do banku i bank podejmowal decyzje czy idziemy na offline auth. wystarczyl wtedy telefon do kolegi i darmowe zakupy ;) oczywiscie tak nie robilismy ;)

  18. Parę wyjaśnień.

    1. Nie ma żadnych przepisów które by wymuszały (V)SAT w USA. W Europie (w tym i w Polsce) najczęściej VSAT stosują stacje paliw – zwłaszcza sieci zagraniczne, które do tego medium są “przyzwyczajone”. Co ciekawe – sieci paliwowe w przypadku swoich kart dopuszczają “fejkową” weryfikację PINu w przypadku braku łączności z hostem autoryzacyjnym.
    2. Karty kredytowe (w USA bardziej popularne niż w PL) idą na podpis. A w automacie mogą pójść “bez niczego” bo nie ma jak zweryfikować podpisu ;) Kwestia konfiguracji i chęci ponoszenia ryzyka…
    3. W Polsce autoryzacja po liniach telefonicznych to przeszłość. Więcej terminali łączy się po GPRSie a najwięcej korzysta z “netu”. SSL (właściwie TLS) jest wymagane – poza PSTNem z X.25 (co do PPP – nie jestem pewien czy ktoś wtedy stosuje).

    • Ad1. To w wielu przypadkach nie jest fejkowa weryfikacja tylko weryfikacja offline jedną z metod (typu IBM33624 lub PVV, etc.)
      Ad3. Jest co najmniej jeden acquirer który korzysta z PPP na PSTN oraz zdarzają się PPP na połączeniach szeregowych.

    • miało być IBM3624 ale mi się misclicknęło

    • @MG
      Michał, co do “fejkowej weryfikacji” – believe me, serio takie praktyki się stosuje.
      PSTN, tak – używa się. Czasem. Pekao w Teskaczach długo jechało (jedzie jeszcze ??? bo self-checkout chodzi szybko a do zwykłych kas nie chodzę i nie wiem czy coś zmienili) na liniach telefonicznych. Ale ogólnie w PL na telefonach wisi już mało terminali… i jest ich coraz mniej.

    • Tja, nie takie cuda bywają… Trzeba jakieś piwo zrobić przy obgadywaniu. Telefon znasz, jakby co :P
      A Ty branży przez przypadek nie zmieniłeś?

  19. Niewątpliwą odwagą jest wrzucanie swoich sylwestrowych fotek w internety, ale impreza musiała byś przednia.Sry, wiem, głupie i oklepane.

  20. folia aluminiowa?! moze swiatelka i lusterka.. łosi chyba wylawiaja :)
    .. wiele elastycznych a sztucznych tworzyw rowniez tłumi a mniej rzucaja sie w oczy

  21. W moim mieście TESCO działa offline ;) Środki z konta ściągane po kilku dniach, na paragonie dopisek “Transakcja off-line” oraz “Proszę obciążyć moje konto wraz z podpisem”.

    • really? :D

    • Gdzie jest to Tesco ? ;)

  22. A kot po co jest ekranowany? Jego umysłem też będą sterowali kosmici i reptilianie?

    • Nie, to po to zeby kot nie sterowal umyslem wlasciciela.

    • Co nagminnie się zresztą zdarza (kot sterujący umysłem
      swego pa.. niewolnika). Exploitowanie durnych systemów płatności
      offline zresztą też.

  23. @ pan z lidla.. Transakcji Ci nie wykona na 99%z karta jest
    zastrzeżona wiec terminal to powinien akurat sprawdzić. Jezeli to
    nie jest terminal drugiej kategorii jak stacje zbliżeniowe w
    automatach biletowych itp. To transakcja nie powinna przejść . A
    jezeli przejdzie to zakładane jest ze nie jestes w posiadaniu karty
    skoro ja zastrzegles a bank powinien oddać Ci pieniądze na drodze
    reklamacji

  24. To okradany jest… sklep? Bank? Bo wspomniana, kradziona
    karta jest już z pewnością dawno zablokowana.

    • Reguły nie są w pełni proste. Na sieci możesz znaleźć sobie zasady obciążeń dla konkretnych produktów kartowych wydane przez organizacje kartowe oraz ‘chargeback guide’ pomocny w procesie ustalania strony finalnie obciążanej (po ewentualnych perypetiach).

  25. W jakim mieście jest takie oflajnowe Tesco?

  26. W Polsce raczej nie grozi, bo większość terminali ma “floor limit” ustawiony na zero albo 50zł (i większość kart tak też), więc nie autoryzują większych zakupów.

    Kiedyś było 400zł ale ze względu na masowe oszustwa zjechali z limitem.

  27. Znając Polskę to dachy i anteny na nich sa tak brudne i zasyfiałe, że nie da rady ich owinąć folią :D

  28. Chcecie powiedzieć, że Biedronka ma łącze satelitarne do płacenia kartami? :D

  29. Czyli folia aluminiowa też zataja kradzież towaru, kiedy są przyczepione czujniki i ktoś próbuje przejść przez bramkę? To znaczy, że wystarczy czujnik zawinąć folią? :>

  30. Skontaktowałem się z paroma bankami odnośnie zablokowania transakcji offline na kartach.
    Żaden z banków (Getin Online, Getin Bank, Alior Sync) nie pozwala na ich blokadę, czasem można wyłączyć “zbliżeniowość”.

    Co ciekawe w przypadku Alior Syncu nie ma możliwości wyłączenia transakcji offline na karcie, ale gadżety z PayPass’em nie działają offline:

    “W przypadku kart innych niż naklejka zbliżeniowa i karta NFC operacja PayPass™ może być realizowana w tzw. trybie offline. Oznacza to, że przed zaksięgowaniem operacji, na rachunku nie zostaną zablokowane środki na pokrycie transakcji. W takim przypadku przy braku środków na koncie istnieje możliwość powstania zadłużenia na rachunku.”

    • zwróciłem ostatnio uwagę, że Alior jako jedyny w PL wyraźnie obniżył próg odpowiedzialności klienta za nieautoryzowane transakcje. ciekawe, czy inne banki też coś zrobią w tym kierunku …

Odpowiadasz na komentarz Filip

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.