9:49
4/7/2016

Oto bardzo ciekawa, choć stara, historia jednego z amerykańskich złodziejów, Sharrona Parrisha, który na ponad 300 000 USD obrobił 42 sklepy Apple, niektóre po kilka razy.

Scam był bardzo prosty. Złodziej korzystał z karty, którą odrzucał terminal płatniczy, ze względu na brak wystarczających do pokrycia transakcji środków. Złodziej wiedział jednak, że bank ma możliwość nadpisania “braku autoryzacji”.

Aby tego dokonać, sklep musi zadzwonić do banku i uzyskać odpowiedni kod, który następnie trzeba wpisać na terminalu. Złodziej wiedział jednak, że terminale płatnicze nie weryfikują poprawności kodu, a jedynie odpowiednią liczbę cyfr w kodzie “nadpisującym”.

Dlatego, tuż po odrzuceniu transakcji, złodziej udawał, że zdzwoni do banku, a następnie prosił sprzedawcę, aby w terminalu wpisał kod “nadpisujący” który, jak utrzymywał złodziej, właśnie podyktował mu konsultant jego banku.

Czy ktoś orientuje się, czy w Polsce terminale też mają taką funkcję? :)

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

21 komentarzy

Dodaj komentarz
  1. Genialne w swojej prostocie :)
    Szkoda, że wpadł :/

    • Wielka szkoda. Fakt. Ale mam nadzieję, że ciebie ktoś obrobi i będę wtedy kibicował złodziejowi, żeby nie wpadł.

    • @UP
      Come on, mówimy tu o sklepach Apple, z dwojga złego wolę złodzieja :D

    • Człowieku, co za mentalność?!?
      Jeśli zdarzy Ci się kiedyś prowadzić własny biznes i będziesz miał ambicję rozwijać go do dużej skali, to czy uważasz, że serio sprawiedliwe będzie jak ktoś Cię będzie okradał?

      Zero kręgosłupa moralnego…

      Czy skala prowadzonej działalności usprawiedliwia zły czyn (tutaj nazywany przestępstwem)? Nie. Przestępstwo to przestępstwo. A jeśli jeszcze masz jakiekolwiek wątpliwości to zadajmy sobie pytanie jak by wyglądało nasze społeczeństwo bez żadnych norm prawnych – i każdy robi to co po swojemu uważa za słuszne – totalne bezprawie.

    • Piotrze, szkoda klawiatury – zaprezentowane powyżej postawy to właśnie polactwo-cebulactwo. Oni myślą, że jak pani na kasie się pomyli na ich korzyść, to można zabrać. Oni myślą, że jak komuś wypada portfel, to można zabrać. W pierwszym przypadku traci sklep, więc jakiś odpersonalizowany byt (nie to, że kasjerka musi się rozliczyć), a w drugim – no cóż, “mógł uważać, zresztą jak nosi kasę przy sobie, to bogaty, niech się cieszy, że mu dokumenty chociaż odesłałem”.

      Jest jedna rzecz, która mnie w tym pociesza – mianowicie zapewne większość w ten sposób oszukanych ludzi …to takie same cebulaki, które innemu by nie odpuściły. Bo argument zawsze się znajdzie (“skoro MA, to złodziej, bo uczciwie się w tym kraju dorobić nie da”).

  2. Voice referral tak nie powinien działać, to operator terminala ma zadzwonić – a nie posiadacz karty. Ktoś obsługi nie przeszkolił – albo gościu był dobry we wciskaniu kitu ;)
    Numer telefonu pod który się ma dzwonić, powinien wtedy się wyświetlić na terminalu, no ale z drugiej strony – na terminalach też są naklejki z numerami do helpdesku acquirera, pewnie udawał że na ten numer dzwoni.

    Tak czy siak – referral jest odpalany przez odpowiedź jaką terminal otrzyma, to nie jest
    tak że przy braku środków (np. odpowiedź “Insufficient Funds” w ISO8583) będzie można sobie samemu go zainicjować, żeby zmienić wynik transakcji.

    • Teoretycznie da się ;) Wystarczy
      1 znaleźć zestawy karta-terminal-acquirer-bank gdzie z hosta do terminala przyjdzie żądanie referalla zamiast odmowy i terminal zacznie tą ścieżkę
      2 użyć socjotechniki na sprzedawcy
      3 znaleźć tych których weryfikacja opiera się na security through obscurity
      4 znaleźć acquirera/bank którzy którzy przez 16 województw nie odetną dowcipnisia na dowolnym poziomie (karty/sklepy/terminale/…) na swoich hostach od tej możliwości

      W USA chyba wystarczało w jakimś wdrożeniu 2 i 3 (mętnie to opisali).
      W Polsce jak ktoś nawet da ciała w wszystkich 1 – 4, to z względu na 4 w przeciwieństwie do USA będzie mógł to natychmiastowo załatać jak się w końcu zorientuje.

  3. Nie spotkałem się na żadnym z terminali z taką funkcją. W kodzie oprogramowania także tego nie ma. Przynajmniej jeżeli chodzi o FDP

    • Serio ? A sprawdzałeś na obu (aktualnych) platformach ?

    • Ze niby nie ma odpowiedzi jako referall na terminalach fdp? Chyba słabo znasz się na posach :)

  4. “amerykańskich złodziejów” – serio jest cos takiego jak “złodziejÓW”, czy raczej poprawnie powinno być “złodziei”?

  5. Złodziejów? Chyba złodziei.

    Pozdrawiam :)

  6. U nas w sklepach w anglii to by nie przeszlo, od razu widac jacy idioci pracujaw USA. U nas jak jest pptrzeba weryfikacji kodu, sami musimy zadzwonic do banku po kod na numer telefonu z instrukcji. Wymaga tego procedura, jesli nie i ktos zaakceptuje czis kod, traci prace proste. Moglby mowic co by chcial i dzwonic gdzie chce i tak my musimy wykonac zaufany telefon po kod, a tam weryfikuja konto, wlasciciela, srodki do transakcji, wiec nie ma mowy o walkach. Pozdrowienia dla idiotow z USA PS, tak takto talibowie zburzyli wam WTC a nie wasz rzad….

  7. Przypuszczam, ze w polsce jest podobnie, w UK w sklepie mielismy podobna sytuacje, chodzili po sklepach dwaj panowie i kupowali MacBooki, na ekranie pojawia sie komunikat, ze to sprzedawca MUSI zadzwonic, w naszych sklepach panowie po prostu dyktowali kod. O ile pamietam siec stracila na tym 20-30 k£. Jestes sprzedawca…przestrzegaj procedur i lej na targety ;-)

  8. U “Was w Anglii” metodą na “voice referral” kradzionymi kartami luksusowe samochody z salonów wyprowadzano, więc wcale tak idealnie nie jest :P

  9. Hm, ja rozumiem, że sprzedawca może nie mieć na kasie telefonu z prostym wyjściem na świat i prościej będzie mu zadzwonić klientem. Ja poważnie rozumiem, że można tak zaakceptować płatność za ziemniaki. Ale jakim trzeba być mułem, żeby:

    1. wykonać nieznaną sobie procedurę wartą więcej, niż 100$?
    2. zaimplementować terminale, które sprawdzają tylko liczbę cyfr w kodzie?

    I sprzedawca i operator terminala zasłużyli sobie na stratę. Gość nie oszukał nikogo, żeby (przez analogię do włamania) mówić o oszustwie, to po drugiej stronie niezbędna jest jakaś, choćby pierwotna, forma inteligencji.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.