9:26
5/9/2012

Brian Krebs dotarł do nagrań ukazujących skimmerów przy pracy. Zobaczcie jak instaluje się nakładkę na bankomat zczytującą pasek magnetyczny karty płatniczej oraz kamerę, służącą do nagrywania PIN-u.

zaslanianie_keypadu

Nieskuteczne zasłonięcie PIN-padu

Instalacja skimmera w praktyce

Film ukazuje nie tylko łatwość instalacji skimmera przez amerykańskich złodziejów, ale również głupotę ludzi, którzy korzystają z bankomatu. Niektórzy pomimo podejrzeń, że “coś tu nie gra” kontynuują transakcję. Z kolei inni na głos wypowiadają PIN…

Jak jednak pokazuje kolejny filmik, tym razem ujawniony przez policję, praktycznie nikt nie zakrywa klawiatury podczas wprowadzania PIN-u:

Można brać przykład z “prawdziwego macho” (chociaż tu chodziło raczej o usunięcie refleksów światła na monitorze):

ale warto pamiętać, aby zakrywanie klawiatury wykonać “z głową”. Na poniższym zdjęciu z artykułu, który publikowaliśmy na Niebezpieczniku jeszcze w 2010 roku, pomimo osłonięcia klawiatury podczas wpisywania PIN-u, dalej można odczytać wstukiwane klawisze:

zaslanianie_keypadu

Nieskuteczne zasłonięcie PIN-padu

Europa bardziej wyedukowana niż Ameryka

Trochę lepiej pod kątem bezpiecznego zachowania przy bankomacie wypadają Europejczycy.

Ale nie można myśleć, że przykrywanie, nawet najdokładniejsze, zapobiegnie “sklonowaniu” karty płatniczej. Skimmerzy nie zawsze korzystają z kamerek nagrywających wstukiwany przez właściciela karty PIN — często po prostu instalują nakładki na klawiaturę — wtedy jej zasłanianie nic nie da.

Jak więc bezpiecznie korzystać z bankomatu?

Oprócz standardowego zakrywania ręką klawiatury podczas wprowadzania PIN-u najlepiej możliwie często korzystać z tego samego bankomatu — wtedy mamy większe szanse na zauważenie zmian (nowe elementy, inna klawiatura). Warto też zbadać i “poszarpać” okolice wlotu na kartę, jeśli coś z niego wystaje. Urwie się? To trudno. Banki i producenci bankomatów powinni nauczyć się, że kolorowe, odstające i migające nakładki mające zapobiegać instalacji skimmerów tylko wzbudzają podejrzenie lub usypiają czujność klientów, a skimmerzy i tak sobie z nimi radzą.

I na koniec najważniejsza rada — regularnie monitorować wyciągi z karty kredytowej/płatniczej, a wszelkie nieprawidłowości natychmiast zgłaszać do banku. Teoretycznie, banki powinny chronić swoich klientów przed skimmerami — systemy wykrywania tzw. fraudów reagują na transakcje tą samą kartą przeprowadzone w krótkim czasie w dwóch różnych, odległych lokalizacjach geograficznych (np. bankomat na Rynku w Krakowie i 15 min. później bułgarski sklep). Teoretycznie, banki powinny więc zwracać w ten sposób zrabowane środki. Teoretycznie — bo np. mBank niedawno wprowadził do swojego regulaminu zapis wyłączający odpowiedzialność banku na wypadek skimmingu — jeśli więc bank lub wynajęta przez niego firma nie zadba odpowiednio o bezpieczeństwo bankomatu i umożliwi na nim instalację skimmera, a wy wypłacicie w nim gotówkę, to sami jesteście sobie winni. Źli wy i niedobrzy. Wasza wina!


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

35 komentarzy

Dodaj komentarz
  1. Do autora (nie publikować): W drugim akapicie – “złodziei” zamiast “złodziejów”

    • juz bylo 1000000000000 razy. obie formy sa poprawne.

    • do komentującego, złodziejów jest również poprawna formą, więc zostawiamy.

    • Oj-tam oj-tam, kradziej to kradziej…

  2. Mam dość istotne pytanie, związane z końcówką artykułu. Jeśli korzystałem z nieuczicwej strony, na której wpisałem dane mojej karty kredytowej, a mój bank wykrył podejrzaną transakcję i zadzwonił do mnie z ostrzeżeniem, czy mogę wnioskować do banku o zwrot pieniędzy zabranych z karty? Skoro bank sam podejrzewał nieprawidłowość czemu nie zablokował transakcji?

    • Jeśli uczciwie korzystałeś z nieuczciwej strony, w sensie nie masz powodów do wycofania transakcji (np. otrzymałeś produkt), to dlaczego miałbyś starać się o zwrot kosztów?
      W każdym innym przypadku stosuj procedure chargeback właściwą dla swojego banku.

    • Bank jako taki dzwoni do ciebie sprawdzić, czy karta nie została skradziona żebyś mógł zgłosić jej kradzież (dzięki czemu oni zablokują kartę zanim wykonają obciążenie).
      Miałem kiedyś długą rozmowę na ten temat z dwoma bankami w których mam konto.
      Podczas wyjazdu firma w której wynajmowałem samochód przeprowadzała jakieś dziwne operacje blokujące środki (w paru podejściach). Kiedy powiedziałem że nie zgadzam się na to, oni powiedzieli że można TYLKO zgłosić kradzież karty, natomiast jeśli tego nie zrobię obciążenie tak czy inaczej pojawi się na koncie. Jasne potem można składać reklamacje itd. ale jeśli chcesz być pewien że nie zostaniesz obciążony musisz ją zablokować i pofatygować się po nową.

  3. Hmmm kilka uwag.
    “Zobaczcie jak instaluje się nakładkę na bankomat zczytującą pasek magnetyczny karty kredytowej”
    Karty kredytowej? Raczej powinno być karty płatniczej tak jak jest gdzieś poniżej.
    Poza tym taka uwaga, że karta kredytowa służy głównie do transakcji bezgotówkowych (płacenie w sklepie albo internecie). Przy pobieraniu gotówki z bankomatu od razu lecą odsetki i jeszcze dodatkowo dochodzi prowizja za wypłatę. Także ostatnie co można zrobić to karta kredytowa używana w bankomacie. Są oczywiście czasami różne sztuczki ale to już zależy od karty i raczej to inny osobny aczkolwiek ciekawy temat ;)
    Co do sposobów na skimming to według mnie najlepszy sposób to osobne konto z kartą tylko do wypłat bankomatowych. Czasami banki pozwalają mieć kilka rachunków ROR i do jednego podpiętą kartę debetową. Dobrze działają też różnego rodzaju combosy jak np. Alior i Sync (Ojciec i Syn he he). Można zastosować dwie metody albo przelewamy sobie kwotę przed wypłatą (w erze coraz większej mobilności raczej to problemem nie jest) albo trzymamy tylko niewielką kwotę na koncie do wypłat (to już według indywidualnego uznania i potrzeb 50, 100, 300, 500). Wtedy nie trzeba przy każdej wypłacie wyrywać bankomatu aby sprawdzić czy ktoś coś czegoś nie dokleił. No i w razie zczytania karty dużo nie ryzykujemy a w zasadzie jeżeli przelewamy przed wypłacenie to nic, więc niech sobie zczytują. Do następnej naszej wypłaty bank już zdąży prawdopodobnie kartę zablokować. Korzystam tak od lat a najróżniejszych kombinacjach i olewam szarpanie bankomatu, zakrywanie, podchody i inne takie ;)

  4. A swoją drogą producenci bankomatów mogliby się skrzyknąć i produkować urządzenia z idealnie gładką, niewypukłą szczeliną na kartę. Każde, choćby minimalne zgrubienie byłoby skimmerem.

  5. Na warszawskim Metro Centrum stoją bankomaty jak z pierwszego filmu, t.j. pionowa ściana z klawiaturą, bez wnęki. Bardzo często widywałem ludzi stojących pół metra od bankomatu i wciskających z tej odległości PIN palcem wskazującym. Trzeba by się natrudzić, żeby nie zobaczyć jakie cyfry zostały wciśnięte…

    • Nie wiem, jakie bankomaty sa przy Metro Centrum, ale Diebold ma tu i ówdzie modele jeszcze fajniejsze niż ten na filmie. Przyciski są tak wielkie, że z powodzeniem można naciskać je głową, a do tego chodzą tak ciężko, że dokładnie widać, z którym się siłujemy.

  6. Apeluję o większe poszanowanie języka…

    http://edytornia.pl/poprawnosc-jezykowa/859-zczytac-czy-sczytac

    Nakładka sczytuje pasek magnetyczny!

  7. w temacie pinów – bardzo irytujace sa terminale w sklepach. tez trzeba sie natrudzic, zeby nikt z kolejki nie ślepił i nie zauwazyl pinu.

  8. A jak wygląda kwestia skanowania pasków przy zastosowania silników krokowych? Bo widzę że to dziś standard w bankomatach ale czy one naprawdę pomagają?

  9. Biometria …i temat zamknięty.

    • Biometria jest fajna, ale powiedzmy kosztowna, bo trzeba czytniki paluchów zamontować w bankomatach oraz paluchy ludzi skanować przy wydawaniu karty.

      Prościej by było zrobić coś ala włączanie bluetooth w komputerze czy telefonie gdy jest potrzebny. Czyli jeśli chcesz wypłacić kasę w bankomacie to logujesz się do systemu banku czy wysyłasz im SMS’a i przez np. 15 minut można korzystać z bankomatu. Po tym czasie transakcje są odrzucane.

      By nie było, że bez telefonu nie wypłacisz z bankomatu pieniędzy to można ustawić sobie np. limit na 100zł jednorazowej wypłaty bez aktywacji wypłaty ;)

      Proste, skuteczne i mało upierdliwe. Oczywiście system działałby tylko w przypadku bankomatów – płatności normalne kartą byłyby realizowane normalnie…

    • Ujeb^W upieprzony palec i temat zamknięty.

    • Polecam odcinek Mythbusters w którym testują zamki. Głupie wydrukowanie odcisku już daje efekt pozytywny i otwiera zamki ;/

  10. A ja sie zastanawiam dokad to wszystko dazy. Latanie wszystkiego na okolo, firewalle, zabezpieczenia, wysmiewanie innych ze nie zabezpieczyli tego i tamtego. Ze nie zakryli pinpada. To co. Mam chodzic z kartka a3, zeby zakryc praktycznie cala reke? Przeciez zakrycie cala dlonia pinpada i tak nic nie da, bo analizujac ulozenie i ruchy reki bez problemu wydedukuje sie ktore klawisze zostaly wcisniete.
    Jak dla mnie, problem polega na braku egzekwowania istniejacego juz prawa. To oszust ma sie bac, ze mu lapy odrabia a nie ja mam sie Bog wie jak zabezpieczac. Prosta sprawa. Moj dom – wara od niego. Tak samo z pieniedzmi. Bo inaczej bez konsekwencji powinienem moc takiego delikwenta wrecz pozbawic zycia. I tyle. Ludzie by sie nauczyli nawet nie myslec o tym, zeby instalowac skimmery w obawie o swoje zycie.

  11. hmm, ing w pobliżu mojego miejsca zamieszkania posiada takie zielone coś, bardzo wystające z wlotu na kartę :)

    Rozumiem, że jeśli pociągnę, a to odpadnie i każą mi zapłacić to mogę wam wysłać rachunek ? :P

  12. Sposób na złodzieja i na… żonę
    Dwa konta na jedno dostaję wypłatę z drugiego można płacić kartą. Idę do bankomatu to przelewam z konta 1 na konto 2 (za przelew nic nie płacę) w bankomacie wyciągam kwotę którą przelałem. Żona idzie na zakupy przelewam ustaloną kwotę z konta 1 na konto 2 przynajmniej mam kontrolę nad jej wydatkami :). Minus taki że jak nie mam nic na koncie 2 to nic nie kupię i drugi taki że aby przelać trzeba siedzieć przy “właściwym” kompie. Działa to nie narzekam

    • Od lat stosuję podobny sposób. Na konto główne karta debetowa, a kasa na subkoncie. Jak potrzebuję, przelewam z subkonta na główne określoną kwotę. To teraz bajecznie proste, w stosunku do czasów sprzed “smartonów” kiedy trzeby było zawsze przed wyjściem z domu/firmy pamiętać o przelewie :)

    • Jest nawet prostszy sposób – wirtualna karta. Tylko taka raczej nadaje się do internetu, bo w sklepie się nią nie zapłaci ;)

  13. Czy jakiś bank wydaje karty bankomatowe z samym chipem bez paska magnetycznego ani RFID?

    • Gdyby to banki wydawały karty pewnie i tak by było. Niestety VISA, MasterCard itp wydają obecnie karty z potrójnym combo (ewentualnie bez-rfid). Pasek magnetyczny jest obowiązkowy dla kompatybilności wstecznej ze starymi terminalami poz (np. te co są przy monitorze w kasach Tesco)

    • Z tego co wiem – nie. Nie ma i nie będzie kart bez RFID, nie można ich też już wymienić na stare. Ustaw sobie limity na te transakcje na zero złotych.

    • A co do pasków – już się praktycznie nie spotykam z terminalami, które nie czytałyby chipów. Szkoda tylko że kasjerzy nie mają pojęcia o zasadzie działania czytników i zawsze przeciągają kartą z boku a potem wsadzają od spodu.

    • W Inteligo na kartach MasterCarda da się wyłączyć pasek magnetyczny i ustawić limit dla transakcji zbliżeniowych na 0 – bank wtedy nie zautoryzuje takich transakcji.

  14. Czy czasami najprostszym wyjściem nie są dwie rzeczy, polska i zagraniczna. W banku w Polsce ustawiamy sobie zerowe limity transakcji zagranicznych i odblokowujemy tylko na czas wyjazdu. Zagraniczne banki pozwalają czasami je powiadomić, że w takim a takim okresie będzie się przebywać w określonym kraju. Czy najprostsze nie jest najskuteczniejsze? Ba, w przypadku jednego banku działającego w Polsce, dzięki serwisowi internetowemu można nawet limit ten włączyć z zagranicznej kafejki internetowej, pobrać pieniądz i wyłączyć.

  15. Da się skutecznie ominąć skimmer – przy wkładaniu/wyciąganiu karty wystarczy lekko poszarpać się z wciągaczem karty (tak by karta chociaż o centymetr cofnęła się przy wkładaniu/wyjmowaniu) – taka operacja spowoduje nadmiarowość danych zczytanych przez skimmer.

    • .. jak ktoś kiedyś kopiował karty telefoniczne to doskonale o tym wie ;)

  16. Wysłałem Wam zdjęcia pewnego bankomatu? Dotarły?

  17. raz miałem korzystać z bankomatu, podchodzę patrzę a tam taka zielona nakładka, chwilę się zastanawiam, przyglądam i zachodzę do banku (nie swego) z zapytaniem, czy to fabryczne/normalne? cały bank z ludźmi na mnie jak na wariata spojrzeli, po chwili babka mówi że tak, to normalne ;x

  18. Jedno tylko chciałbym naprostować, niewiedza != głupota. Zwykły Pan X nie ma pojęcia, jakie istnieją możliwości wydobycia jego pinu, skopiowania karty. Dla niego główną opcją jest aby przypuszczenie, że pan Y z kolejki podejrzy jego pin a następnie za zakrętem walnie mu w pysk wyciągając kartę z kieszeni. Czy to, że Pan X założył sobie konto w banku i chce z niego po prostu korzystać w bankomatach banku, ktoremu zaufał (skoro powierzył tam pieniądze, to musi ufać) jest głupotą?

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: