3/12/2009
Oczywiście oryginalny i oczywiście z numerami kart kredytowych w pamięci ;-) Bankomaty można znaleźć (i legalnie kupić) na aukcjach internetowych. Koszt? Od 500 do 2000 dolarów…
Gdzie można kupić bankomat?
Ta historia zaczyna się podczas hackerskiej konferencji DEFCON. Jeden z uczestników jest pod wrażeniem, jak łatwo goście hotelowi dają się nabrać na bankomatową pułapkę, czyli ustawiony w hotelowym holu fałszywy bankomat. Jegomość postanawia powtórzyć wyczyn, ale — co oczywiste — potrzebuje bankomatu. Wpada na pomysł kupienia go na portalu ogłoszeniowym (internet freak!) i o dziwo, kilka chwil później i 750 dolarów potem staje się posiadaczem bankomatu.
Po odebraniu urządzenia, chwali się zdobyczą przed kolegą, który trochę zna się na programowaniu EPROM-ów… Panowie z pomocą ogólnie dostępnej w internecie instrukcji do urządzenia (PDF na stronie producenta) zmuszają bankomat do wydrukowania na bankomatowej drukarce wszystkich numerów kart kredytowych znajdujących się w pamięci. Numerów jest ok. 1000 i są całkiem świeże (użyte w tym bankomacie w ciągu ostatnich czterech miesięcy). Zobaczcie sami:
Jak obronić się przed tego typu atakami?
Zakrycie klawiatury podczas wprowadzania PIN-u, usunięcie skimmera, czy inne standardowe metody ochrony przed bankomatowymi oszustami nie wystarczą. Pozostaje chyba tylko wycelowanie działka EMP w stronę bankomatu zaraz po przeprowadzeniu transakcji ;)
P.S.
Zakupiony bankomat pochodził z wyprzedaży po likwidacji pubu. Zastanawiam się, ile piw możnaby kupić z tysiąca kart kredytowych…?
P.P.S.
Kto potrafi, na filmie powyżej, odczytać numer kraty kredytowej użytej jako przykład przez “pana eksperta od kradzieży tożsamości”? :>
“Kto potrafi, na filmie powyżej, odczytać numer kraty kredytowej użytej jako przykład przez “pana eksperta od kradzieży tożsamości”? :>”
Nie ja. Kiedy? Wtedy jak bawil sie papierkiem (podrzucal)?
Jak wkładał do bankomatu koło 1:57 chyba.
Ta karta to chyba “dla szpanu”. Nie jest podpisana. Swoja droga – jak z rewersu chcesz odczytać nr wypukłej CC?
Widać numer, nie chce mi się przewijać i odczytywać, ale da się.
Faktycznie trochę nieciekawie, że da się kupić bankomat. W Polsce chyba są inne regulacje i nie każdy może takimi rzeczami handlować, co? Na pewno są inne regulacje odnośnie terminali płatniczych, więc pewnie bankomaty są objęte podobnymi restrykcjami.
A jak sprawa stoi z terminalami?
Kiedyś czytałem, że standardowo zapisują one użyte PINY w pamięci oprogramowania. Czy tak jest nadal? Terminal łatwiej załatwić niż bankomat.
USA. Bezpieczeństwo w bankowości tam leży. Wolą płacić klientom za fraudy niż inwestować w EMV. Większość ATMów ma u nich nieautomatyczne czytniki kart (takie jak na filmie, w PL czytniki wprowadzając i wyprowadzając kartę wykonują losowe ruchy w celu zafałszowania danych zczytanych ew skimmerem).
Żeby odczytać numer tej karty trzeba wykorzystać metody CSI – Zoom In and Enhance.
Z tego co przeczytałem na innym portalu dot. bezpieczeństwa sprzedaż terminali płatniczych przez osoby fizyczne jest nielegalna – pewien osobnik próbował sprzedać taki terminal na portalu aukcyjnym w wyniku czego miał niezapowiadaną wizytę stróżów prawa.
Przypuszczam, że z bankomatami jest podobnie – w legalny sposób raczej nie da się ich pozyskać.
@KrystianCK w polsce :)
@Piotr – w Polsce i przypuszczam, że w krajach UE także.
Jak obronić się przed tego typu atakami?
http://gadzetomania.pl/2009/12/25/rfiddler-bron-z-fimow-scifi-ktora-naprawde-dziala-wideo/
[…] chcieli dokonać podobnego aktu sympatii dla bankierów, proponujemy zakup bankomatu z drugiej ręki […]
Numer karty to X529 0XXX 0087 XXXX – nic oprócz tego fragmentu nie da się odczytać z YouTube’owego wideo nawet przy wysokiej jakości, zapisaniu wideo na dysk i przeglądaniu klatka po klatce. Obraz jest rozmazany ze względu na ruch karty. Przydałoby się jednak Zoom In and Enhance ;)
[…] Kup sobie Bankomat […]
po co komu karta bankomatowa?? zwariowaliście?? nie posiadam żadnej od 3 lat i żyję i to wcale nienajgorzej
@zyx – bo noszenie przy sobie gotowki jest malo wygodne. Zwlaszcza jak sie kupuje cos wiecej niz mleko i bulki :)
PS. Od 3 lat biegasz do banku i wyplacasz pieniadze w kasie ? Czy moze trzymasz zapas gotowki pod materacem w domu ? :D
Co do samego problemu – w USA bezpieczenstwo w bankowosci online lezy – nie wiem dokladnie jak jest teraz, ale pare lat temu jedynym zabezpieczeniem konta bylo ID i haslo. Jesli ktos je znal, mogl wyprowadzic cala kase z konta.
A u nas ? Trzeba podac PIN, PUK, NIP, tekst z captcha, haslo SMS i Buk wie co jeszcze ;]
Miedzy innymi dlatego przekrety online u nas sa nieskuteczne (chyba, ze maja na celu wykradzenie nr karty kredytowej i danych osobowych na niej zawartych…).
[…] Kup sobie bankomat! […]
[…] może producenci dedykowanych skimmerów idealne dopasowanie swoich produktów osiągają dzięki kupowaniu prawdziwych bankomatów? Wykonany na specjalne zamówienie skimmer i pinpad (klawiatura). Przeznaczone dla bankomatów NCR […]
[…] swoich badań Barnaba wykorzystał bankomaty, które po prostu kupił. Następnie podpiął debugger do płyty głównej i zaczął reverse-engineering firmware’u. […]
Ostatnie cyfry to 0633 – 1:58 ;)
Z materiału wynika, że ATM wydrukował tylko nr kart płatniczych, co może i jest niebezpieczne, ale do wykonania transakcji kartą później (MOTO) brakuje przecież daty ważności, danych użytkownika, CVC/CVV.
A resztę nr-u karty wyliczamy znanym i lubianym algorytmem. :P
@cy – Czyli jakim?:)