14:58
28/3/2019

We Francji zatrzymano grupę rabusiów, którzy ukradli paliwo warte 150 tys. euro. Do kradzieży być może by nie doszło, gdyby zarządcy stacji zmieniali PIN-y w swoich systemach.

Nikt nie zmienił domyślnego PIN-u

O zatrzymaniu przestępców pisze m.in. Le Parisien, który wspomina, że kradzieży dokonano za pomocą “cudownych” urządzeń do zdalnego sterowania dystrybutorami paliwa. Co jednak istotne, kradzież wymagała również podania PIN-u do odblokowania urządzeń na stacji. Tak się złożyło, że na okradzionych stacjach używano PIN-u domyślnego – 0000.

Pokonawszy wszystkie “bariery technologiczne” rabusie mieli już z górki. Nocą na stację benzynową podjeżdżało auto, w którym znajdował się pilot potrzebny do zresetowania cen paliwa i usunięcia ewentualnych limitów. Następnie podjeżdżał van z dużym zbiornikiem, do którego pompowano od 2 do 3 tysięcy litrów. Skradzione paliwo trafiało na sprzedaż. Pierwsze aresztowania w związku z tą sprawą miały miejsce już w kwietniu 2018 roku, a teraz doszło do rozbicia całej grupy po niemal rocznym śledztwie. 

Jak nie pilotem to kluczem

W Detroit podobnej kradzieży dokonano w lipcu 2018 roku i to w biały dzień. Złodzieje zmienili ustawienia dystrybutora i przez 90 minut pracownik stacji nie widział na swoim pulpicie informacji o tankowaniach. W tym czasie z usług stacji skorzystało ponad 10 aut, a policja nie była pewna czyje to były samochody i czy ich właściciele kradli świadomie. Straty oceniono na 600 galonów, czyli ponad 2 tys. litrów.

Takie ataki nie zawsze wymagają “cudownego” pilota. Wystarczy otworzyć kluczem odpowiednią skrzynkę w dystrybutorze i w niej wprowadzić kod odłączający urządzenie od systemu stacji. Amerykańskie media informowały, że zwykle zarządcy stacji nie zmieniali kodów domyślnych, a zdaniem policji byłby to prosty i skuteczny sposób ochrony.

Kluczyki dające dostęp do wnętrza dystrybutora również można kupić, a interesują się nimi również przestępcy instalujący skimmery w urządzeniach stacji benzynowych.

 

Bardziej finezyjny przekręt

Jeśli już mówimy o kradzieżach paliwa to wypada wspomnieć o “wyczynie” Denisa Zajewa z Rosji. Stworzył on unikalne oprogramowanie oszukujące klientów stacji. Funkcjonariusze rosyjskiej FSB twierdzili, że było to narzędzie bardzo trudne do wykrycia dla inspektorów sprawdzających stacje benzynowe. Tylko co dokładnie to oprogramowanie robiło?

Oprogramowanie dosłownie przekierowywało paliwo. Od 3% do 7% paliwa kupionego (i opłaconego) przez klientów trafiało nie do baku, ale do zbiornika na stacji, który to zbiornik był wcześniej opróżniany pod pretekstem prac konserwacyjnych. Gromadzone w tym zbiorniku “nadwyżki” były następnie odsprzedawane w ramach nierejestrowanych transakcji.

Cały proceder odbywał się za wiedzą i zgodą osób zarządzających stacjami, które albo płaciły za zainstalowanie oprogramowania albo dzieliły się z Zajewem zyskami z procederu. Co istotne, oprogramowanie Zajewa obejmowało nie tylko dystrybutor, ale kompletne systemy stacji, wraz z narzędziami do księgowości i kasami włącznie. O sprawie informował m.in. rosyjski Rosbalt.

Zmieniajcie domyślne PIN-y i hasła

Na szczególną uwagę w tej historii zasługuje – naszym zdaniem – domyślny PIN w postaci czterech zer. Pamiętajcie, żeby zawsze i wszędzie zmieniać domyślne hasła i PIN-y, nawet jeśli atak na jakieś urządzenie wydaje się mało prawdopodobny. Zresztą nawet w urządzeniach stworzonych z myślą o bezpieczeństwie może wystąpić problem domyślnych PIN-ów. Osiem zer było PIN-em chroniącym broń nuklearną w USA, a z kolei my pokazaliśmy co sześć zer może zrobić z hotelowym sejfem.

Temat uniwersalnych kluczy też już poruszaliśmy w kontekście kłódek i sprzętu budowlanego.

Przeczytaj także:



3 komentarzy

Dodaj komentarz
  1. Na podobnej zasadzie będąc kiedyś w hostelu miałem dostęp do routera hasło “admin1”.

  2. Myślę, że przy okazji napisać coś o składowaniu takich rzadko używanych pinów i haseł. Keepass, wydruki trzymane w sejfie lub coś podobnego. Mało jest znanych, popularnych dobrym praktyk z tym związanych. Odzyskiwanie z kolei bywa dość trudne. Warto propagować takie całościowe rozwiązania bo samo ‘zmień domyślny pin’ nie rozwiąże problemu na dłuższą metę. Żółte karteczki czy hasła widoczne na ogólnodostępnych tablicach to kolejne odsłony tego samego problemu.

    • Dochodzą jeszcze kwestie zamawiania gotowych produktów wraz z montażem czy też korzystanie z podwykonawców. Obsługa stacji może nie wiedzieć, ze dystrybutor ma jakieś zdalne sterowanie albo nie znać kodów, kupili po prostu gotowe z montażem. Czasem zamawiający sam coś kombinuje, np jakiś czas temu była afera z Paczkomatami, gdzie obsługa może ponoć zdalnie otworzyć skrytkę, a fizyczny producent tych urządzeń zapiera się, iż nigdy ich oprogramowania w taką funkcję nie wyposażał.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: