9:00
26/6/2017

Złodzieje znaleźli sposób na wypłacenie pieniędzy z bankomatu poprzez wysłanie sygnału elektrycznego do podajnika pieniędzy. Wymagało to nieco wiercenia, ale metoda była dość dyskretna.

Jeśli nie kilof to co?

Ataki na bankomaty przyjmują najróżniejsze formy. Czasem jest to brutalne wysadzanie lub wyrywanie ze ścian, które nazwaliśmy metodą “na Polaka”. Można też użyć bardziej subtelnych narzędzi takich jak kilof, albo zrobić dyskretny podkop — lub jak w Indiach, gdzie dominuje iście bollywoodzka finezja — wykonać atak na bankomat przy pomocy zapałki.

Na tym tle całkiem nieźle prezentuje się opisana niedawno metoda. Łączy ona dyskretny element siłowy (wiertarkę) z niedrogim mikrokomputerem. Ten zestaw pozwala na nieautoryzowane uruchomienie podajnika pieniędzy. Choć metoda ta jest już znana, to do tej pory niektóre z modeli bankomatów są podatne na atak.

Bankomat obrobiony metodą na zapałkę

Bankomat obrobiony metodą na zapałkę

Wirtarka, mikrokomputer i voila!

Niektóre bankomaty używane od lat 90. mają port szeregowy, do którego można się dostać wiercąc otwór w odpowiednim miejscu. Wspomniany port jest podłączony do magistrali łączącej komputer bankomatu z podajnikiem pieniędzy. Badacze Kasperskiego przeanalizowali wewnętrzną komunikację bankomatu na poziomie sygnałów elektrycznych. Ustalili, że pomiędzy modułami urządzenia nie było żadnego uwierzytelniania. Wpinając się więc do jednej części bankomatu można było wysłać komendę do innej.

Głupio jest stać przy bankomacie z laptopem, zatem badacze zbudowali mały komputer wysyłający komendę do wydawania pieniędzy. Sprzęt kosztował 15 dolarów, a więc mniej niż dobra wiertarka. Składał się z płytki prototypowej, kontrolera Atmega, kilku kondensatorów, przejściówki i 9-woltowej baterii.

Sprzęt sprawdził się w czasie testów na bankomacie. Jedynym mankamentem było to, że komputer czasami się restartował po wykryciu niezależnego działania podajnika. Nie było to jednak wystarczające do powstrzymania ataku. Najwyżej wydłużało procedurę.

Dodajmy, że zatrzymano domniemanego sprawcę jednego z takich ataków. On nie bawił się w mikrokomputer i użył po prostu laptopa podłączanego do bankomatu przewodem przez wywierconą dziurę.

Otworzyć nie możesz, ale wiercić tak!

Opisana metoda może się nieco kojarzyć z infekowaniem bankomatów płytą CD albo włamywaniem się do bankomatu przez USB. W tych przypadkach również konieczne było otwarcie bankomatu albo wyłamanie lub nawiercenie obudowy. Interesujące jest to, że większość bankomatów uruchomi alarm w czasie prób otworzenia przedniego panelu, ale wiercenie w tym panelu może już takiego ostrzeżenia nie wzbudzić. Coraz częściej można spotkać się z poglądem, że kamery w bankomatach powinny być umieszczane tak, aby swoim zasięgiem obejmować nie tylko twarz klienta, ale również elementy obudowy.

Może się wydawać, że pewną metodą ochrony byłoby natychmiastowe zatrzymywanie każdego, kto wykonuje dziwne ruchy przy bankomacie. Niestety… przy bankomacie należy zachowywać się dziwnie!

Bankomat warto poszarpać

Pozostając w temacie bankomatów zwrócimy uwagę blogowy wpis Briana Krebsa pt. Why I Always Tug on the ATM. Prezentuje on z pozoru niewinnie wyglądający bankomat, w którym umieszczono kamerę skierowaną na pinpad oraz skimmer. Taką kamerę i skimmer można wykryć, jeśli najpierw obejrzysz bankomat pod różnymi kątami, a potem nieco poszarpiesz tą zieloną nakładką na szczelinie do wsuwania kart.

Zdaniem Briana Krebsa wskazane jest pociągnięcie różnych części bankomatu zanim z niego skorzystamy. Czasami w ręce zostanie nam jakiś element, na przykład taki.

Oczko się urwało temu bankomatu! (źródło zdj. krebsonsecurity.com).

Niestety nawet jeśli obejrzycie bankomat ze wszystkich stron i poszarpiecie każdym elementem to istnieje prawdopodobieństwo, że czegoś nie wykryjecie. Dlatego regularnie przeglądajcie wyciągi swoich kart płatniczych.

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. Albo zacznijcie korzystać z blika przy wypłacie gotówki.
    Gorzej za granicą, ale tam to najczęściej używam kart walutowych z ograniczoną ilością środków.

  2. PeoPay też daje fajne możliwości wpłaty pieniędzy nie używając karty

    • Wypłaty*, możliwości wpłat bez karty cały czas mi brakuje

    • A jaki jest sens robienia wpłaty blikiem? Wpłata jest po to, gdy masz gotówkę, a chcesz mieć pieniądze na koncie. W przypadku blika już masz te pieniadze ;)

    • BLIK powoli wchodzi też w obszar wpłat gotówkowych

  3. Wydaje mi się, że na skimming można bardzo łatwo się uodpornić – wystarczy użyć BLIKa do wypłaty (choć to opcja dostępna tylko w PL).

    • Jest do tego jakaś otwarta aplikcja czy trzeba instalować oprogramowanie wyprodukowane przez bankowych geniuszy bez żadnej weryfikacji?

    • GDR!: Nie wiem w jakim banku masz konto, ale w ING jak korzystasz z BLIKa to i tak musisz w aplikacji potwierdzić PINem i nie zrobisz tego dopóki nie dodasz danego telefonu do zaufanych przy pomocy 2FA.

  4. Witratka – literowka w nazwie akapitiu

    • W zasadzie to tam jest “Witrarka”, a nie “Witratka”, ale co do reszty zgadzam się – literówka ;-)

    • Matko, to jakaś incepcja… “Wirtarka”, a nie “Witrarka” czy “Witratka”…

    • a nawet “Wirtarka”

  5. Ja się dziwię, że przestępcy dopiero teraz wpadli na pomysł włamania się do podajnika pieniędzy.

    • Ta metoda jest znana od ok. 2001 roku. W Hiszpanii Santander stracil w ten sposob kupe pieniedzy. W starszych maszynach wszystko idzie po RS232. Kiedys nie myslano o czyms takim jak szyfrowanie komunikacji miedzy dyspenserem a komputerem.

  6. A co z podejściem – postawię tu fakowy wpłatomat i zbiorę wypłaty wieczorem? Ktoś wpadł może na takie coś? słyszeliście? : D

    • Wpłaty we wpłatomatach idą online na karty, więc klienci szybko zgłaszali by reklamacje i ktoś szybko by sprowadził służby do sprawdzenia maszyny. Duża inwestycja w atrapę maszyny i mały zysk z dużym prawdopodobieństwem wpadki.

  7. @royek gratulacje – zrobiłeś literówkę w literówce…

  8. -> Rafał 2017.06.26 12:10 | # |
    wplacac tez moze z uzyciem BLIKa np w PKO BP z uzyciem ich apki mobilnej IKO

    -> GDR! 2017.06.26 19:55 | # |
    otwarta aplikcja ? masz wymagania :-D

    • Portfele do kryptowalut zazwyczaj są otwarte – gdyby takie podejście do bezpieczeństwa się nie sprawdziło, bitcoin nie osiągnąłby ceny 10000 zł…
      Największym problemem z zamkniętym kodem źródłowym aplikacji bankowych jest brak możliwości weryfikacji, jak korzystają z wymaganych uprawnień – a inwigilacja użytkowników byłaby w tym przypadku szczególnie opłacalna, bo wszystkie pozyskane informacje można od razu powiązać z konkretnym klientem. W Androidzie 6 można już blokować zbędne uprawnienia (za wyjątkiem dostępu do internetu – pewnie ze względu na reklamy Google…), ale w starszych wersjach (oficjalnych) to niemożliwe.

  9. Wzglednie mozna wyplacac gotowke w banku :)

    • Ciekawe czy wtedy też trzeba “poszarpać” za różne części Panią w okienku? :))

  10. Przypomnę, że zablokowanie możliwości dodania skimmera, kamerki, nakładki na klawiaturę itp jest dość proste – wykonuje się jednolitą klawiaturę z obudową i ekranem ze spawanej i polerowanej blachy. Ale jest to koszt ponoszony przez producenta urzadzenia, a kradzież obciąża już inne konto.

  11. Albo używać karty, którą wcześniej trzeba doładować. W razie czego stracisz tylko tyle, co było na karcie.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.