10:35
16/3/2016

Oto nagranie jednego ze sklepów, na którym możecie na własne oczy przekonać się, ile czasu zajmuje wprawnemu przestępcy sam moment założenia skimmera:

Powyższy film przesłało nam kilkudziesięciu czytelników, niektórzy pytali, czy taki atak możliwy jest w Polsce. Tak, jest możliwy — ale zwróćcie uwagę, że w naszym kraju coraz rzadziej w sklepowych terminalach z kart korzysta się poprzez sczytanie paska (“przeciągnięcie karty”). W Polsce funkcjonuje CHIP & PIN — kartę wkładamy do terminala i transakcja uwierzytelniana jest za pomocą znajdującego się na niej chipu. Podczas takiego scenariusza użycia, skimmer założony na sklepowy terminal (czytniki z reguły są z boku) nie odczyta danych karty, nawet jeśli nakładka na klawiaturę pozyska PIN klienta.

Aby nie kończyć happy endem, wspomnijmy tylko o tym, że znane są już skimmery przechwytujące dane z chipów, wsuwane we wloty na karty.


Przeczytaj także:

24 komentarzy

Dodaj komentarz
  1. Ale można kopiować informacje z płatności bezdotykowych.

    • Wiesz, że można czy myślisz, że można? Bo teoretycznie jedyne co możesz “zobaczyć” przy takiej komunikacji, to token z bardzo krótkim okresem przydatności do użycia.

    • @Nux

      I w teorii i w praktyce – takie dane jak PAN, expiry date, cardholder name są jak najbardziej możliwe do odczytania czy to przez interfejs stykowy czy bezstykowy.

    • Można i nie można.

      Istnieją 2 typy tokenów – zależne od czasu i zależne od licznika. Te zależne od czasu mają krótki termin przydatności, zwykle 30 sekund. Wymagają jednak synchronizacji czasu między serwerem płatności, a kartą – karta musiałaby więc być wyposażona w zegar RTC i baterię, aby wiedzieć dokładnie która jest godzina.

      Karty korzystają więc z tokenów bazujących na liczniku. Karta po wygenerowaniu tokenu zwiększy licznik o 1, przez co nowy token będzie już inny. Dodatkowo, token generowany jest w taki sposób, aby serwer który go weryfikuje mógł określić który to jest token z kolei. Więc jeśli otrzyma token wygenerowany dla wartości licznika 37, automatycznie nie przyjmie już płatności wykonanych z użyciem tokena o wartości licznika niższych lub równych 37.

      Więc po jednorazowym odczytaniu karty zbliżeniowej jesteśmy w stanie wykonać jedną płatność z użyciem wygenerowanego przez kartę tokena.

      Biorąc pod uwagę te informacje, atak jest możliwy. Dodatkowo, możemy pobrać kilka(naście) tokenów po kolei z karty i je wykorzystać później…

      Przed tym jednak są karty zabezpieczone w prosty sposób: po wygenerowaniu tokena dla płatności blokują się na jakiś czas, np 15 sekund. Co oznacza, że w ciągu tych 15 sekund nie zapłacimy 2gi raz zbliżeniowo – co praktycznie nie ogranicza posiadacza karty… I zabezpiecza to już nie tylko przed pobraniem kilku tokenów na raz, ale też przed pobraniem jakiegokolwiek tokenu przy płatności! Dlaczego?

      1. obok siebie nie mogą pracować 2 terminale odczytujące kartę. Zakłócałyby się nawzajem. Poza tym każdy z nich doskonale by wiedział o obecności drugiego. W ten sposób terminal może się zablokować przy obecności skimmera.

      2. Wygenerowany token przy płatności nie mógłby zostać wykorzystany przez skimmer, bo właśnie został zużyty do dokonania tej płatności.

      Jedynym możliwym wektorem ataku w tym przypadku jest aktywacja skimmera przed aktywacją płatności zbliżeniowej w terminalu. Liczymy w tym przypadku na to, że klient przyłoży kartę do czytnika zanim kasjer wbije płatność na terminal. Skimmer odczyta wtedy kartę przed terminalem, a terminal po prostu kartę odrzuci bo nie będzie ona chciała wygenerować nowego tokena – płatność odbędzie się więc nie-zbliżeniowo.

      I pamiętajmy! Odczytamy w ten sposób tylko jeden kod! No chyba, że klient położy swoją kartę na terminale na dłużej… Ale czas blokady karty może wynosić więcej, niż 15 sekund. To 15 to tylko przykład, bo nie wiem na jaki dokładnie czas karta się blokuje.

    • Gwyn, zawsze można się przejść po mieście czy zatłoczonym autobusem z komórką z NFC i odpowiednim softem ;). Potem ślemy tokeny do kolegi który ich używa. Tak, niestety dalej taki atak jest możliwy. Chyba że masz folię w portfelu/portfel z klatką Faradaya.

  2. przy okazji- popatrzcie na kwotę transakcji i naliczony tax. porównajcie do kwot w polsce.

    • …i nawet z takich “metadanych” +tabeli US tax rates można wywnioskować, że sklep zlokalizowany był w stanie Missouri (4.225%) ;)

    • 4.225% płacisz jeśli masz błękitną koszulkę. Jeśli masz koszulkę w paski płacisz 7.07%.
      I to właśnie jest wspaniałe w USA, że nigdy nie wiesz ile będziesz musiał zapłacić dopóki nie zapłacisz. Pewnie dlatego trzeba płacić ajfonami, bo gotówki może zawsze zabraknąć jeśli masz koszulkę w paski.
      Swoją drogą z innych metadanych wynika, że 75% osób w Missouri nosi czapeczki z daszkiem; przewaga płci też jest powalająca (o ile sprzedawca jest kobietą).

    • 1. Polsce.
      2. Zwróćcie raczej uwagę, że pokazane jest kto, co, kiedy i za ile kupił.
      (Przekroczył Pan miesięczny limit na chipsy jesteśmy zmuszeni powiadomić o tym Pana Ubezpieczyciela.)
      Śmiejemy się z Barejowego “do Bydgoszczy będę jeździł a tu nie będę kupował” a sami, aby coś kupić anonimowo, niedługo będziemy musieli udać się chyba do Afryki.

      “Następnie, jakby dotknąwszy talii coś sobie przypomniała, wsunęła dłoń do kieszeni
      kombinezonu i wyjęła niedużą tabliczkę czekolady. Przełamała na dwie części i jedną dała
      Winstonowi. Jeszcze zanim jej skosztował, poznał po zapachu, że to niezwykła czekolada.
      Była ciemna, lśniąca i owinięta w srebrną folię, podczas gdy normalnie sprzedawano matową,
      łamliwą masę brązowej barwy, o smaku kojarzącym się z wonią palonych śmieci. Ale kiedyś,
      dawno temu, jadł już taką czekoladę jak ta, którą poczęstowała go Julia. Sam zapach zbudził
      w nim silne, niepokojące, lecz całkiem zatarte wspomnienia.”

    • @czas – ależ to normalna praktyka, takie “miksery” (*) paragonów z obrazem z monitoringu w Polsce też są często stosowane. Wiele hałasu o nic…

      (*) generator obrazu transakcji fiskalnych, sumator obrazu, video text inserter for POS systems, POS text inserter itp itd…

  3. Najbezpieczniejsza tutaj, w tym konkretnym przypadku, jest płatność bezdotykowa właśnie.
    Skimer może być zlokalizowany również we wlocie na chip i też czytać pasek podczas wkładania karty (bo karty EMV w 90% przypadkach mają też pasek). Zbliżeniowo do 50 zł nie trzeba podawać pinu, od tej kwoty trzeba, ale nie trzeba wkładać karty do czytnika, ponadto zbliżeniowe CVV generowane przez chip karty (nie mylić z CVV karty) jest jednorazowe i zużyte od razu – no przecież leci transakcja, a podczas jednego “zbliżenia” terminal może tylko raz poprosić kartę o autoryzację.
    Paranoikom polecam grubą warstwę pieniędzy w portfelu (skutecznie blokują odczyt zbliżeniowy przez portfel po ich stronie) lub folię z amelinium (przydaje się zwłaszcza do “rozdzielenia” ZTM-ki z kartą płatniczą, bo niestety obydwie “reagują” na Mifare 1k – wówczas jedna strona (think: wewnętrzna) jest płatnicza, a druga do przechodzenia przez bramki w metrze/odbijania w kasownikach).

    • …lub fonem – NFC jest aktywne tylko w momencie odblokowania. Ja po transakcji natychmiast fona blokuję.

    • Zależy od programu obsługującego płatność NFC. PeoPay na przykład aktywny jest nawet na wygaszonym ekranie – przynajmniej na W10M.

  4. MX870. Bez klawiatury – więc PINu nie “ściągali”. Ale przecież tam “jadą na podpisie”.

  5. Diachle, paragon na monitoringu, co za czary.

    • Norma – wkładka zakładana pomiędzy kamerę a rejestrator (lub podpinana do rejestratora po RS485 o ile rejestrator to obsługuje) i drukarkę fiskalną. Na drukarce masz ustawiony mirroring komunikacji komputer-drukarka na wolny port RS i do niego się wpinasz “wkładką”. “Wkładka” taka rozumie protokół Novitusa i generuje z nich napisy podobne do tych na paragonie :)

  6. w biedronce na moim osiedlu bez żadnych skimerów zczytują piny przy pomocy kamer monitoringu. myślę, ze nie tylko w biedronce. kamera wisi tak, że widać klienta widać kasjerkę i widać wklepywany pin.

    • No i co z tego ze widac? co komu da mój wizerunek i pin?

  7. Skurwielowi odciąłbym dłonie którymi założył ten skimmer.
    Tylko nie piszcie że jestem drastyczny…

  8. W temacie jest litrówka.

  9. A co z bramkami na autostradach – gość zabiera ci na chwilę kartę i…

  10. @yakhub – chyba pollitrowka

  11. Patrząc na karty jakie mamy to można by pomyśleć że banki współpracują z przestępcami.
    Od banku dostajemy super nowoczesną hiper zabezpieczoną kartę, która w dalszym ciągu wyposażona jest w pasek magnetyczny z którego korzystają tylko złodzieje :)

  12. Czarnuch :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: