18:57
3/12/2009

Oczywiście oryginalny i oczywiście z numerami kart kredytowych w pamięci ;-) Bankomaty można znaleźć (i legalnie kupić) na aukcjach internetowych. Koszt? Od 500 do 2000 dolarów…

Gdzie można kupić bankomat?

Ta historia zaczyna się podczas hackerskiej konferencji DEFCON. Jeden z uczestników jest pod wrażeniem, jak łatwo goście hotelowi dają się nabrać na bankomatową pułapkę, czyli ustawiony w hotelowym holu fałszywy bankomat. Jegomość postanawia powtórzyć wyczyn, ale — co oczywiste — potrzebuje bankomatu. Wpada na pomysł kupienia go na portalu ogłoszeniowym (internet freak!) i o dziwo, kilka chwil później i 750 dolarów potem staje się posiadaczem bankomatu.

Jedno ze zdjęć na stronie producenta pokazujące wnętrze bankomatu

Jedno ze zdjęć na stronie producenta pokazujące wnętrze bankomatu

Po odebraniu urządzenia, chwali się zdobyczą przed kolegą, który trochę zna się na programowaniu EPROM-ów… Panowie z pomocą ogólnie dostępnej w internecie instrukcji do urządzenia (PDF na stronie producenta) zmuszają bankomat do wydrukowania na bankomatowej drukarce wszystkich numerów kart kredytowych znajdujących się w pamięci. Numerów jest ok. 1000 i są całkiem świeże (użyte w tym bankomacie w ciągu ostatnich czterech miesięcy). Zobaczcie sami:

Jak obronić się przed tego typu atakami?

Zakrycie klawiatury podczas wprowadzania PIN-u, usunięcie skimmera, czy inne standardowe metody ochrony przed bankomatowymi oszustami nie wystarczą. Pozostaje chyba tylko wycelowanie działka EMP w stronę bankomatu zaraz po przeprowadzeniu transakcji ;)

P.S.
Zakupiony bankomat pochodził z wyprzedaży po likwidacji pubu. Zastanawiam się, ile piw możnaby kupić z tysiąca kart kredytowych…?

P.P.S.
Kto potrafi, na filmie powyżej, odczytać numer kraty kredytowej użytej jako przykład przez “pana eksperta od kradzieży tożsamości”? :>

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

23 komentarzy

Dodaj komentarz
  1. “Kto potrafi, na filmie powyżej, odczytać numer kraty kredytowej użytej jako przykład przez “pana eksperta od kradzieży tożsamości”? :>”
    Nie ja. Kiedy? Wtedy jak bawil sie papierkiem (podrzucal)?

  2. Jak wkładał do bankomatu koło 1:57 chyba.

  3. Ta karta to chyba “dla szpanu”. Nie jest podpisana. Swoja droga – jak z rewersu chcesz odczytać nr wypukłej CC?

  4. Widać numer, nie chce mi się przewijać i odczytywać, ale da się.

    Faktycznie trochę nieciekawie, że da się kupić bankomat. W Polsce chyba są inne regulacje i nie każdy może takimi rzeczami handlować, co? Na pewno są inne regulacje odnośnie terminali płatniczych, więc pewnie bankomaty są objęte podobnymi restrykcjami.

  5. A jak sprawa stoi z terminalami?

    Kiedyś czytałem, że standardowo zapisują one użyte PINY w pamięci oprogramowania. Czy tak jest nadal? Terminal łatwiej załatwić niż bankomat.

  6. USA. Bezpieczeństwo w bankowości tam leży. Wolą płacić klientom za fraudy niż inwestować w EMV. Większość ATMów ma u nich nieautomatyczne czytniki kart (takie jak na filmie, w PL czytniki wprowadzając i wyprowadzając kartę wykonują losowe ruchy w celu zafałszowania danych zczytanych ew skimmerem).

  7. Żeby odczytać numer tej karty trzeba wykorzystać metody CSI – Zoom In and Enhance.

  8. Z tego co przeczytałem na innym portalu dot. bezpieczeństwa sprzedaż terminali płatniczych przez osoby fizyczne jest nielegalna – pewien osobnik próbował sprzedać taki terminal na portalu aukcyjnym w wyniku czego miał niezapowiadaną wizytę stróżów prawa.
    Przypuszczam, że z bankomatami jest podobnie – w legalny sposób raczej nie da się ich pozyskać.

  9. @KrystianCK w polsce :)

  10. @Piotr – w Polsce i przypuszczam, że w krajach UE także.

  11. Jak obronić się przed tego typu atakami?
    http://gadzetomania.pl/2009/12/25/rfiddler-bron-z-fimow-scifi-ktora-naprawde-dziala-wideo/

  12. […] chcieli dokonać podobnego aktu sympatii dla bankierów, proponujemy zakup bankomatu z drugiej ręki […]

  13. Numer karty to X529 0XXX 0087 XXXX – nic oprócz tego fragmentu nie da się odczytać z YouTube’owego wideo nawet przy wysokiej jakości, zapisaniu wideo na dysk i przeglądaniu klatka po klatce. Obraz jest rozmazany ze względu na ruch karty. Przydałoby się jednak Zoom In and Enhance ;)

  14. […] Kup sobie Bankomat […]

  15. po co komu karta bankomatowa?? zwariowaliście?? nie posiadam żadnej od 3 lat i żyję i to wcale nienajgorzej

  16. @zyx – bo noszenie przy sobie gotowki jest malo wygodne. Zwlaszcza jak sie kupuje cos wiecej niz mleko i bulki :)
    PS. Od 3 lat biegasz do banku i wyplacasz pieniadze w kasie ? Czy moze trzymasz zapas gotowki pod materacem w domu ? :D

    Co do samego problemu – w USA bezpieczenstwo w bankowosci online lezy – nie wiem dokladnie jak jest teraz, ale pare lat temu jedynym zabezpieczeniem konta bylo ID i haslo. Jesli ktos je znal, mogl wyprowadzic cala kase z konta.
    A u nas ? Trzeba podac PIN, PUK, NIP, tekst z captcha, haslo SMS i Buk wie co jeszcze ;]
    Miedzy innymi dlatego przekrety online u nas sa nieskuteczne (chyba, ze maja na celu wykradzenie nr karty kredytowej i danych osobowych na niej zawartych…).

  17. […] Kup sobie bankomat! […]

  18. […] może producenci dedykowanych skimmerów idealne dopasowanie swoich produktów osiągają dzięki kupowaniu prawdziwych bankomatów? Wykonany na specjalne zamówienie skimmer i pinpad (klawiatura). Przeznaczone dla bankomatów NCR […]

  19. […] swoich badań Barnaba wykorzystał bankomaty, które po prostu kupił. Następnie podpiął debugger do płyty głównej i zaczął reverse-engineering firmware’u. […]

  20. Ostatnie cyfry to 0633 – 1:58 ;)

  21. Z materiału wynika, że ATM wydrukował tylko nr kart płatniczych, co może i jest niebezpieczne, ale do wykonania transakcji kartą później (MOTO) brakuje przecież daty ważności, danych użytkownika, CVC/CVV.

  22. A resztę nr-u karty wyliczamy znanym i lubianym algorytmem. :P

  23. @cy – Czyli jakim?:)

Odpowiadasz na komentarz Smooth_Operator

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: