12:09
31/1/2011

Na Niebezpieczniku wiele razy poruszaliśmy temat skimmerów, czyli nakładek na bankomaty, których celem jest przechwycenie PIN-u karty oraz informacji zapisanych na jej pasku magnetycznym. Tym razem prezentujemy dość nietypowy skimmer, bo taki, który swoje zadanie wykonał doskonale, a w ogóle nie dotknął bankomatu.

Skimmer pozabankomatowy

W poniższym przypadku złodzieje zamontowali skimmer w czytniku kart umieszczonym na drzwiach do banku (aby skorzystać z pomieszczenia z bankomatem, w niektórych placówkach należy otworzyć drzwi poprzez przeciągnięcie swojej karty).

Skimmer w Drzwiach

Skimmer w drzwiach do banku

…oraz lusterko z wbudowaną weń kamerą tuż obok bankomatu.

Lustro z kamerką do skimmera

Lustro z kamerką do skimmera. Widzicie dziurkę?

Klient myślał, że lustro służy jego bezpieczeństwu, bo za jego pomocą widział osoby stojące za nim. A tymczasem w środku kryła się taka, kosztująca 150 USD, kamerka:

Kamera do skimmingu

Kamera do skimmingu

Aby spotęgować efekt, złodzieje nakleili na jednym z bankomatów, tym którego klawiatury nie obejmowała ukryta kamera, kartkę z napisem “bankomat nieczynny”…

Macajcie nie tylko bankomaty

Z powyższego wynika prosta wiadomość do wszystkich rozważnych klientów, którzy przed skorzystaniem z bankomatu sprawdzają jego klawiaturę i okolicę czytnika kart pod kątem występowania luźnych, niepasujących elementów. Teraz musicie jeszcze sprawdzić okoliczne lustra i drzwi ;)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

30 komentarzy

Dodaj komentarz
  1. ta kamerka to lipa, nawet nie ma wifi.
    na miejscu zlodziei instalowalbym sprzet z GSM/wifi i po instalacji juz nigdy nie zblizal sie do bankomatu, tzn. spisywalbym caly sprzet na straty. zlodzieje sa jednak tepi :D

  2. Lepiej zostać na tym, wi-fi ? marny pomysł, można szybko dowiedzieć się gdzie dane zostawały odbierane, i nici z akcji i “milionów”

  3. dobry pomysl :] ciekawe co jeszcze wymysla

  4. A tak się właśnie zastanawiałem nad pożytkiem z tych “skimmerów” do otwierania drzwi… przecież to głupota. Nie wiem przed czym to zabezpiecza. Jeszcze mogą dokładać klawiaturę do wpisania PINu bo inaczej drzwi się nie otworzą…

    • Zabezpiecza to przed spaniem meneli w komorach/pokojach z bankomatami. Tam jest milo, cieplo, w nocy raczej maly ruch, w zime idealna noclegownia. Ale jak trzeba wejsc z karta, ktorej takowi najczesciej nie posiadaja to jest juz pewien problem :)

  5. Kupilem sobie taka kamerke i moge powiedziec ze jest to tandetka, brak wbudowanej pamieci, krotki czas dzialania, nie ciekawa jakosc obrazu itd ;)

    Pomysl wydaje sie byc ciekawy, najpierw ofiara daje numery kart a pozniej idziec podac PIN ;))
    sprytne

    • Ice_men: ta kamerka działa do 2h i ma wbudowaną pamięć.

  6. A może by tak podchodzić do bankomatu z jakimś zagłuszaczem sygnału radiowego? Wtedy wszystkie urządzenia szpiegujace, komunikujące się przez WiFi lub GSM, leżą! :)

  7. @jurek ogórek, @d0hn:
    pewnie by było łatwiej przez wifi, namierzyć owszem się da, ale chyba nikt nie jest tak głupi, żeby łączyć się do takiej kamerki z domu. Ale wystawiając coś do nasłuchu zwiększasz koszta, skomplikowanie i czas operacji-musisz w jakimś samochodzie czy koszu na śmieci podłączyć rejestrator. Tym co w poście jest pokazane spokojnie możesz obstawić kilkanaście bankomatów w mieście-montujesz, wracasz i zbierasz żniwo.
    Jeśli kamerkę zostawisz na dłużej-to istnieje szansa, że ktoś ją znajdzie i zablokuje narażone na ryzyko karty, więc trzeba ją zabrać.
    Poza tym, po skimmer chyba i tak musisz wrócić, bo raczej nie mają wifi.

  8. I sam bankomat też (podobno wiele bankomatów łączy się dziś po GPRS + VPN)…

  9. @klakier: bankomaty chyba mają łącza kablowe (modem/Ethernet/DSL).

  10. Co ciekawe w bankomatach PKO można wpisać błędny PIN. Wówczas ma się normalne menu oraz można wybrać kwotę do wypłaty. Przed samą realizacją pojawi się komunikat “Podany kod PIN jest błędny” (lub coś w tym stylu) i trzeba będzie jednak wpisać kod PIN ponownie. Po wpisaniu operacja zostanie zrealizowana.

  11. Mnie tylko zastanawia, kiedy do mnie się ktoś doczepi, bo zanim użyję bankomatu to sprawdzam newralgiczne elementy czy czasem nie da się ich zdemontować, teraz będę stukać jeszcze w lusterka itp… Jak nic w końcu ktoś zadzwoni po gliny jak mnie zobaczy w takiej sytuacji ;-D

  12. @Marcin Maziarz: i przy okazji przerwac transakcje z bezprzewodowego terminala w kawiarni obok…

    @wojtekm: tak, zbierasz zniwo i juz czeka na ciebie kilku policjantow w cywilu, bo to, ze w 1 na kilkanascie przypadkow znajda kamerke i skimmer to niemal pewne.
    Skimmer w sensie czytnik numeru karty kredytowej to jest de facto taka klawiatura – mozesz ja podpiac do czegokolwiek, i puscic sygnal nawet po wifi – ale nie jest to juz tak trywialne…

    Bezprzewodowe technologie nie sa az tak drogie zeby sie nie oplacalo ich wykorzystywac (chocby wifi), a do GSM (ktory nie wymaga bycia w poblizu) mozna wykorzystac jakas tania komorke i soft w javie.

    Mnie ciekawi co innego – podobno ta kamerke w lusterku wykryl klient, a nie ochrona – to dopiero bystry koles :D

  13. @K normalne jest, że bankomat nie sprawdza od razu kodu PIN ale przechodzi do dalszych opcji, pyta o kwotę, itp. Dopiero po skompletowaniu wszystkich danych maszyna łączy się z bankiem i w odpowiedzi dostaje info, czy PIN był poprawny.
    @gadulix: u mnie w pracy używają przewodowego VeriFone omni 3750, więc niech sobie tam zakłucają… :)

  14. Na ten patent jest prosta metoda – drzwi otwieramy jakąkolwiek inną kartą magnetyczną…

  15. @Cyber Killer: spokojnie, ja też zawsze obacuję bankomat, sprawdzam, czy nie ma skimmerów, próbuję podważyć paznokciami klawiaturę (nakładka) oraz szukam wszelkich dziurek skierowanych na moje dłonie. ;) Na szczęście 90% wypłat wykonuję w tym samym bankomacie, więc w miarę wiem, jak wygląda.

  16. @Marcin Maziarz dlatego wklepywanie w pierwszej kolejności błędnego PINu może być niekiedy zabezpieczeniem.

  17. To bylo w Polsce? I zostali zlapani?

  18. Ktoś mi wytłumaczy po co na karcie mamy czipy skoro jest także pasek, który można zeskanować? Na wuja te karty hybrydowe?

  19. @NN: nie wiem, ale moje przypuszczenia padają na to, że to przejściowo. Wiele sklepów dalej ma tylko czytniki paska magnetycznego, chipa już nie.

  20. https://niebezpiecznik.pl/post/dziury-w-termunalu-do-obslugi-kart-platniczych/

    pamietam tez byl post o omijaniu pinu w terminalach.
    a co do tego tematu to na codzien stykam sie z 2 bankomatami ktore sa trafne
    mam 1 zaufany przy banku ;-) moim zdaniem najlepiej montowac kamerke u gory
    a skimera przez gms. mieszkam w takim miescie gdzie uzyskal bym miliony przy 2 tyg akcji ;D az kusi…

  21. Czyli jak uszkodzę pasek, a zostawię tylko czip to jestem bezpieczny? Nie chce mi się sprawdzać każdego bankomatu, a w sklepach kartą nie płacę.

    Tylko jak uszkodzić ten pasek, aby było estetycznie i mieć pewność, że nie działa?

  22. @NN: zetrzyj go na cacy papierem ściernym i namaluj wzorek ;)

    Jeśli karta ma odłamany róg lub coś w tym stylu bankomat jej nie przyjmie.

  23. @K
    Co do uszkodzonych kart, to ja swoją mam złamaną w pół (na szczęście ani nie na pasku, ani nie na chipie), wyoklejałem ją taśmą i żaden bankomat się nie sprzeciwia :D

  24. Wiekszosc bankow oddaje kase w takich przypadkach wiec az tak zle nie jest… Sa tez ubezpieczenia od kradziezy karty (czy skimowanie mozna uznac jako “kradziez” ?)

    Pytanie co pozniej z ta kasa zrobic – do siebie przelewu nie puscisz, zamowic cos do siebie to tez bez sensu bo wykryja…

  25. @barkh: to juz jest raczej problematyka z zakresu prania brudnych pieniedzy.
    Ale na to sa sposoby.
    co do wpisu d0hna: wariacji jest wiele typu stosowanie bridgy, wykorzystywanie specyfiki przestrzennej terenu (odbicia fal itp.), stosowanie anten silnie kierunkowych i inne. Docelowo pakiety i tak rutowalbym przez tora. Tudziez via gsm na anonimowa skrzynke w bananowym kraju. Suma sumarum sprzet i tak spisany jest na straty.
    Tomek natomiast zasugerowal tez ciekawa opcje pozyskiwania pinu, mysle ze skutecznosc przy ogolnej tendencji spadku IQ spoleczenstwa bylaby zadowalajaca :D
    Nie wiem natomiast jak sprawdzilby sie pomysl zagluszania sygnalu, starsze klasyczne skimmery bylyby na to odporne z racji nie wykorzystywania zadnych interfejsow wykorzystujacych EM w tych przedzialach czestotliwosci. Bankomaty w wiekszosci do
    przesylania inf. wykorzystuja kable, z reszta polecam lekture kom. odnosnie bankomatow
    bo i na ten watek rozpoczely sie juz dywagacje. Ale nawiazac chcialem do watku zagluszania: niektore terminale przesylaja inf. przez gprs wiec trzebaby miec na uwadze ze zagluszanie uniemozliwiloby transakcje.
    NN: kup cos z serii msr i na pasek wgraj kontakt na emala, chcialbym zobaczyc mine przestepcy ktory sczytuje dumpy kart i trafia na taki kwiatek o.O

  26. @NN: Jak bankomat/sklep użyje paska magnetycznego na karcie hybrydowej, to on wtedy odpowiada za ewentualne oszustwa. Takie są regulacje VISA i MC. Jeżeli jednak odczuwasz dyskomfort psychiczny z powodu obecności paska, polecam potraktować kartę degausserem, stosowanym do kasowania dysków twardych. :)

  27. To jakiś dziwny bank, że nie zauważyli napisu bankomat nieczynny. Tam, gdzie pracowałem, wyszło by następnego dnia, przy próbie załadowania pięniędzy. W dodatku bankomaty były sprawdzane rano i wieczorem, codziennie.

  28. “Lepiej zostać na tym, wi-fi ? marny pomysł, można szybko dowiedzieć się gdzie dane zostawały odbierane, i nici z akcji i “milionów””

    Dane były odbierane w kawiarence internetowej. Powodzenia.
    ps. Przypominam Ci w jakim kraju mieszkasz.

Odpowiadasz na komentarz gadulix

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: