8:16
22/6/2012

Złodzieje wpadli na ciekawy pomysł ataku na pracowników i klientów punktów, które przyjmują płatności kartami płatniczymi za pomocą terminali POS.

Podmiana terminala POS

Złodzieje podmieniają terminal na swój, zmodyfikowany w taki sposób, że oprócz faktycznego przetwarzania transakcji, nagrywa PIN i zapamiętuje dane z paska. Klienci korzystają z fałszywego terminala, a pod koniec dnia złodzieje znów odwracają uwagę sprzedawcy/kelnera i podmieniają terminal na oryginalny, zabierając swoją fałszywkę z danymi klientów.

Kasa samoobsługowa w krakowskim Realu

Kasa samoobsługowa w krakowskim Realu

Teraz zastanówcie się, ile różnych modeli terminali płatniczych widzieliście, z ilu skorzystaliście i czy potrafilibyście odróżnić prawdziwy od fałszywego. Jak? Po czym?

PS. Parę lat temu “modna” była nie podmiana a sprzedaż sklepom fałszywych terminali, które wieczorem łączyły się z serwerami przestępców i przesyłały im dane z całego dnia. Wtedy Mastercard radził sklepom zważyć terminale i na tej podstawie odróżniano fałszywki od prawdziwych (fałszywe były cięższe ze względu na moduł pamięci)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

83 komentarzy

Dodaj komentarz
  1. Czy sklep ponosi odpowiedzialność za straty klienta w takiej sytuacji?

    • bank jest odpowiedzialny – w sensie zwracaja ci kase i sami dochodza odszkodowania od winowajcy, taka procedura miedzynarodowa

  2. Wystarczy, że patrzą na mnie jak na wariata gdy obmacuje bankomat :-)

    • Dokładnie to samo u mnie :D

    • A myślałem, że tylko ja tak mam ;-)

    • no to jest nas już trzech… ;)

    • Czterech :) a teraz jeszcze oglądanie terminali :(

    • Czterech… :)

    • wystarczy nie korzystać z bankomatu ;) Ja ostatni raz wypłacałem coś z bankomatu rok temu i da się żyć “bez pieniędzy” :)

    • To jakiś fetysz?

    • Ostatnio “obmacywałem” bankomat WBK na swojej uczelni, miał dziwny, duży, jakby naklejony na bankomat plastik na wejściu od karty, postanowiłem zgłosić to woźnemu, patrzył się na mnie jak na jakiegoś wariata ale powiedział ,że postara się to zgłosić. Finał tej historii jest taki że za dwa tygodnie plastiku nie było, pytanie brzmi czy zdjął go serwis bankomatu czy złodzieje.

    • @alex: Myślisz, że woźny to odpowiednia osoba do zgłoszenia takiej sytuacji?

    • A myślałem że tylko ja taki ostrożny jestem. Miło usłyszeć że nie jest się samemu ze swoją obsesją :D

    • Ja wypłacam tylko z bankomatów WBK za pomocą jednorazowych tokenów – na pohybel skimmerom.

  3. literówka “/kolenera”

  4. No właśnie. Po czym poznać fałszywy terminal?
    Niby trzeba uważać, ale nie wiadomo na co być czujnym ;) Mogą mieć takie same obudowy, a wagę ciężko ze sobą nosić :)

    • Tak naprawdę nie poznasz jeśli nie wiesz dokladnie jaki model mial byc w tym miejscu, jak mial wygladac interfejs itp. W sumie to moga różnić sie tylko softem, i to nie wliczając UI.

  5. czyli że poza zrzucaniem danych z karty i pinów, dodatkowo zgarniają kasę z transakcji? bo skoro złodziej daje swój terminal, to pewnie też kasa leci na jego konto? jeżeli tak to krótkotrwałe trochę to ;)

    • Nie, to by było od razu wykrywalne i nie przynosiłoby sensownego dochodu.

  6. Skoro sczytuje dane z paska, to rozumiem, że nie ma zagrożenia dla kart z chipem?

    • Są jeszcze terminale, które szczytują pasek z kart CHIPOWYCH. Więc jest zagrożenie. Co do Chipa, z tego co wiem, carderzy jeszcze go nie rozpracowali.

    • lord, jak dotykasz te terminale, że szczytują? ;)

    • W Polsce może 10% sprzedawców jak dostanie kartę z chipem zaczyna od niego, a nie od paska…

  7. Kiedyś miałem do czynienia z kompletem informacji o terminalach dużej sieci stacji benzynowych. Pinpady (klawiatury) mają swoje klucze kodowania i numery seryjne. Z tego co wiem ich podmiana nie jest tak banalna jak by się mogło wydawać. Terminal musi być przygotowany do współpracy ze wskazanym pinpadem.

    • No właśnie mnie to zastanawia. Nie ma jakiegoś sensownego challenge-response?
      Powinno być tak, że jest jakiś token generowany do uwierzytelniania się pinpada względem terminala (i vice versa).
      Urządzenie oryginalne powinno być jednorazowego otwarcia, tzn. po rozkręceniu powinno już zaprzestać działania.

      A scenariusz może być np. taki:
      – podmiana pinpada na atrapę która nie działa
      – przelutowanie/or sth odpowiedniej płytki do lewego urządzenia
      – ponowna podmiana na urządzenia lewe, ale tym razem poprawnie się uwierzytelniające i podsłuchujące
      – okresowe zgrywanie danych zarejestrowanych przez pinpada.

    • OK. Ale klucze zostają takie same i sn. Wystarczy zamontować skimer w środku i jazda. PINpad jest ok działa, a dane kart są zbierane :)

    • Oczywiście zamiast przelutowywania płytki do lewego pinpada, można dolutować np. pamięć flash i moduł bluetooth/or sth do urządzenia oryginalnego.

    • @Walduss – skimmer to jedno, ale zgranie tego, co user wpisuje w klawiaturę to może nie być takie proste – producenci zapewne to choć trochę zabezpieczyli. Ale tylko dywaguję – być może to trywialne.

    • @chesteroni, a co z terminalami “standalone”, które same przetwarzają płatność i drukują potwierdzenie? Jaki problem tak go przerobić, żeby tylko zapamiętywał informacje i drukował jakiś lewy kwitek? Nawet nie musi tej transakcji przetwarzać. Albo lepiej – wysyła wszystkie dane do atakującego, a ten wykonuje taką transakcję, żeby nie było żadnych podejrzeń jak restauracja przez cały dzień nie dostanie pieniędzy z płatności kartami.

    • To dopiero plan: odwrócić uwagę sprzedawcy i na szybko dolutować coś do sklepowego pinpada ;]

    • @Mariusz – 10/10 :)
      nie trzeba tutaj rocket science… wystarczyłby moduł który uaktywnia alarm w momencie odłączenia pin pada od terminala, oczywiście, że mój pomysł śmierdzi security through obscurity, ale lepsze to niż nic. Z drugiej strony – uwierzytelnianie pinpada też nie należy do rzeczy trudnych w implementacji… no chyba, że waga urządzenia jest istotna :)

    • … tak naprawdę to rozmawiamy o dwóch różnych sytuacjach. Pierwsza to taka w której właściciel samego sklepu ma niecne zamiary i modyfikuje sprzęt. Nie jest to trudne obecnie wynająć posa i próbować robić na nim wałki. Druga sytuacja to taka, w której ktoś próbuje dokonać ataku na nieświadomego merchanta. Na ogół terminale mają zabezpieczenie na wypadek odpięcia pinpada, które polega na rozsynchronizowaniu kluczy szyfrujących używanych do komunikacji terminala z pinpadem. Ciężko wyobrazić sobie sytuację żeby ktoś próbował modyfikować terminal czy pinpad korzystając z nieuwagi sprzedawcy, prędzej już podmiana całego urządzenia.

  8. Coraz większe ryzyko, chyba zacznę płacić znowu w gotówce ;-)

    • Ja prawie nigdy nie używam karty, ale nie z powodu security tylko dlatego, że płacąc kartą łatwo jest stracić kontrolę nad finansami. Gotówka jest bezpieczniejsza dla osób, których wypłata się nie trzyma :-)

    • @chesteroni:
      Rozumiem, że nie masz dostępu do historii bieżących transakcji na karcie… Oj współczuję… lepiej zmień bank ;-)

    • @Pacierz: może ma w getinie kartę? ;-)

    • @krakers: To Getin ma taki dobry system? Nie wiedziałem ;-) Swoją drogą naszemu przedmówcy nie pomoże nawet świnka-skarbonka, jeśli wypłata i tak się go nie trzyma !

    • Pacierz: o getinie można dużo przeczytać, ale na pewno nie to, że system działa prawidłowo ;-)

    • @Pacierz – żona pomaga ;-)

  9. Po co stawiać jakieś podróbki, normalny terminal można kupić bez większego problemu, nawet na Allegro. SDK też jest do zdobycia. Motywu z ważeniem terminali nawet nie skomentuję. ;)

  10. Co do zdjęcia terminalu z REAL-a to już było mówione, że taśma zaklejająca szczelinę dla kart jest dla klientów nie umiejących czytać instrukcji, bo czytnik pasków magnetycznych znajduje się bezpośrednio w kasie, a chipowe karty wkłada się do terminalu. Ot taka ciekawostka

    • Ciekawe dlaczego logika jest na kasie, czyzby systemy obslugi sklepow czytaly dane z paska do profilowania klientow (powiazanie zakupow z identyfikatorem jakim sa dane z paska: imie/nazwisko/numer karty)? Ja bym tak robil, jakbym byl duzym sklepem, dobre zrodlo statystyk :)

    • @Piotr:
      tego nie mogą robić bez wyraźnej zgody klienta, dlatego wymyślono programy lojalnościowe (zbieranie pktow itp.), które w regulaminie mają już zawarte odpowienie zezwolenia dysponowania danymi ;)

  11. Tak mi przyszło do głowy że rozwiązaniem tego problemu może być telefon z NFC i systemem płatności typu Google Wallet. Oczywiście stwarza to inne zagrożenia ale niewątpliwie eliminuje te z podmianą urządzeń (POS, pinpad, etc..).
    Brakuje tylko bankomatów z obsługą NFC…
    co o tym myślicie?

  12. Niemożliwa jest bezinwazyjna podmiana pinpada kasowego, który jest zintegrowany z konkretną kasą w danym punkcie. W dodatku musi być odpowiednio skonfigurowany, z wgranymi odpowiednimi kluczami szyfrującymi etc.etc.
    Prostsza sytuacja jest z samym terminalem – jeśli ktoś podmieni w punkcie np bezprzewodowy POS (GPRS/WIFI) na swój, spreparowany, to właścicielowi raczej na pewno nie uda się tego zauważyć na pierwszy rzut oka.

    • Na jakimś konkretnym przykładzie twierdzisz, że nie można? Pracuję w sklepie posiadającym 12 kas i można dowolnie zamieniać pinpady/terminale. Urządzenia te nie są jakoś sprzętowo/kluczem szyfrującym powiązane ze sobą na stałe. Mało tego, jak jest jakaś awaria i dzwoni się na infolinię to wprost każą Ci zamienić pinpad i/lub terminal w celu zidentyfikowania źródła problemu: pinpad lub terminal lub internet.

    • @r
      Najlepsze są kasy fiskalne zintegrowane z terminalami i pinpadami. Obsługa takiego sprzętu jest prostsza (zamiast dwóch urządzeń jest jedno), a niezauważona podmiana raczej niemożliwa z uwagi na większe rozmiary. Poza tym im mniej urządzeń, tym mniejsze ryzyko awarii, mniejsze ryzyko popełnienia błędu w obsłudze mogącego wpływać na bezpieczeństwo i w sumie mniejszy pobór mocy.

  13. Widac ogladaja BBC. Tam juz dawno pokazywali takie sztuczki.
    Dodatkowo nie machac do nieznajomych w lokalu (obsluga jest informowana, ze machajacy zaplaci za rachunek).
    Nalezy uwazac na falszywe sklepy (istnieja tylko kilka godzin i sprzedaj “super” okazje)

  14. Ten pomysł już pokazywali w programie, który czasem leci chyba na Discovery. Ogółem program jest o 2 gościach i lasce którzy kręcą ludzi w UK. Jednym ze sposobów, które tam pokazali jest właśnie podmiana terminala mobilnego w restauracji. Widzę, że nasi “oszuści” uczą się od zachodnich speców ;)

  15. http://www.youtube.com/watch?v=rSkZSlni-ZA

    • Dość ciekawy patent. Podjeżdżają na stację benzynową i tankują. Gdy przychodzi do zapłaty, sprzedawca musi podać terminal do samochodu bo tam siedzi “właściciel karty” ze złamaną nogą i nie może wysiąść. On z kolei zamienia terminale i oddaje swój, do którego wcześniej wmontowali chip zdolny pomieścić dane i PIN-y 1400 kart. Po 15 dniach znowu przyjeżdżają i cofają zamianę – oddają oryginalny terminal a tamten ze zgromadzonymi danymi zabierają!

    • Pod warunkiem, że przez 15 dni właściciele się nie zorientują, że na ich koncie nie są księgowane transakcje. ;)

    • A najlepsze jest to, że inżynier który to stworzył, Arlei de Oliveira Lima, wcześniej pracował nad projektem… przeciwdziałania oszustwom kartowym! Jednak organizacjom płatniczym owy projekt się nie spodobał więc inżynier postanowił “przejść na drugą stronę”.

    • @magnus – podmienione terminale pasywnie zbierały dane kart klientów podczas gdy dokonywali oni normalnych opłat za paliwo. Dopiero po 15 dniach dane te były wykorzystywane bądź odsprzedawane innym grupom przestępczym. Do tego czasu klienci nawet nie mieli pojęcia o tym, że dane ich kart zostały skradzione!

  16. Dziwic moze fakt, ze w przypadku spraw tak wrazliwych, jak dane transakcji finansowych, dane klientow, dane dostepowe stosuje sie terminale i systemy odczytujace ich dane bez zadnego uwierzytelnienia. Nalezaloby po prostu wprowadzic technologie uwierzytelniania terminali za pomoca klucza/kodu sprzetowego/programowegi i “kojarzyc” terminale z “baza”. Zauwazylem, ze sektor przemyslowych zastosowan IT [SCADA, sklepy, etc] niespecjalnie przejmuje sie bezpieczenstwem juz na etapie produkcji tych urzadzen. To jednoczesnie zabawne i przerazajace, daje tez jednak dobre wyobrazenie umiejetnosci [a wlasciwie braku] osob, ktore zajmuja sie projektowaniem i wdrazaniem takich systemow.

    • Ten problem załatwi jedynie zaostrzenie norm dotyczących zabezpieczeń terminali oraz komunikacji terminal-agent rozliczeniowy przez organizacje płatnicze (powinni zacząć od wycofywania archaiznego analogowego dialupa na rzecz łączności GSM, 3G, ostatecznie przez zabezpieczone Wi-Fi pod warunkiem braku możliwości łączenia przez Wi-Fi zabezpieczone gorzej niż WPA2). Producenci terminali sami z siebie raczej nie podniosą sobie kosztów, o ile nie będzie to konieczne. Po prostu produkują sprzęt mieszczący się w normach okreslonych przez Visę, MasterCard i ewentualnie inne mniej znane organizacje tj. American Express, Discover, Diners JCB (o ile one też certyfikują terminale). Z drugiej strony wymagania rynku i acquierów spowodują zaostrzenie zabezpieczeń w nowych modelach posów i pinpadów oraz, w miarę mozliwości, upgrade istniejących rozwiązań zanim organizacje płtnicze owe normy certyfikacji zaostrzą.

    • Co do innych systemów (ogólnie SCADA) przypadek Stuxneta czy Duqu powinien otrzeźwić projektantów tych systemów (zarówno hardware jak i software).

    • Pawle, jesteś nieco… śmieszny.
      3G i Wifi, w przeciwieństwie do tego twojego _archaicznego_ dialupa to wręcz przykłady systemów, które nijak nie są niezawodne. Przede wszystkim kwestia zasięgu, który w niektórych konstrukcjach obiektów jest wybitnym problemem.
      A Wifi… Co ci da WPA2, czy tam i nawet WPA1000, skoro punkt dostępowy w większości przypadków jest wspólny i na drzwiach wejściowych do knajpy wisiała by kartka: sieć wifi Restauracja_Moja, hasło 1234.
      Ja wiem, że publiczne hotspoty powinno się wydzielać itepe itede. Problem tylko taki, że dla menedżera restauracji niepojętym jest to, że ma do pinpadów drugi internet kupić :p

    • @Paweł: sposób zabezpieczenia samej sieci nie ma znaczenia skoro i tak idzie to przez SSL lub VPN do banku… Jak ktoś odpali arpspoof’a to “najwyżej” przestanie działać, żadne dane nie zostaną wykradzione.

  17. Każdy terminal na pewno posiada indywidualny numer identyfikacyjny, czy jest on do sprawdzenia dla sprzedawcy? To już inna sprawa. Bo gdyby trzeba było wzywać do sprawdzenia numeru serwisanta to nie jest halo.
    Ponadto każdy sklep może wprowadzić jaką swoje oznaczenie w postaci nalepki nie widocznej na oko, np. pod spodem terminalu, aby szybko móc sprawdzić, oczywiście terminale są tylko dzierżawione więc nie mogą to być oznaczenia których nie można usunąć.
    Wprowadzić procedurę codziennego sprawdzenia wiarygodności terminali, a jak znajdą fałszywkę, to porozumieć się z policją i nie demontować, ale czekać cierpliwie na delikwenta, prędzej czy później przyjdzie…

  18. Wczoraj widziałem jak robił serwisant wymianę pin pada .
    Wypiął stary wpiął nowy , i na pewno na nowym pin padzie wstukał coś a później logował się do systemu na netbooku i coś zmieniał ale niestety nie widziałem co robił

    Wiec to nie jest chyba takie proste chodź może starszy sprzęt działa inaczej ;/

  19. Czy Wy serio uważacie, że w sieci supermarketów typu np Real, gdzie zainstalowanych jest kilkadziesiąt kamer (w tym obserwujących kasy samoobsługowe) ktoś ryzykowałby manipulowanie przy terminalach?

    Macie jakieś dowody, czy po prostu zobaczyliście pasek taśmy, który ma zapobiegać przed używaniem górnego czytnika i już siejecie ferment?

    Pozdrawiam.

    • W czasie dnia to i owszem, ale w nocy się różne rzeczy dzieją :)

  20. Jak złodziej może podmienić terminal w sklepie nie zwracając uwagi sprzedawcy, który ma przecież ten terminal w zasięgu ręki?
    W dodatku terminal jest podłączony do przynajmniej 2 przewodów – zasilania i linii telefonicznej. Zamieniając terminal, trzeba je odłączyć i podłączyć na nowo. Jakoś nie wydaje mi się, żeby taką manipulację wykonac w sposób niezauważony…

    • Są też terminale GSM i wtedy jest tylko jeden kabel. Jednak producenci terminali mogą dodać gniazdo Kensington Lock. Jeśli linka jest pożądnie wykonana przynajmniej utrudni kradzież wydłużając jej czas. Problem jest jednak z terminalami przenośnymi, nie mówiąc już o coraz popularniejszych głównie w USA czytników do telefonów (zupełnie legalnych np. Square, zwykle podłączanych do iPhona lub smartfona z Androidem przez gniazdo Jack). W Europie (w Szwecji) coś takiego oferuje iZettle. Swoją drogą ciekawi mnie, jak taki terminal przesyła dane, bo przecież gniazdo Jack służy jedynie do transmisji dźwięku (no chyba, że dane są zakodowane w dźwiękach, coś ja w modemie dial-up). Poza tym taka transmisja musi być dwukierunkowa, no chyba, że gniazdo jack służy jedynie do zasilania, a dane idą Bluetoothem, jednak czytnik square wydaje mi się zbyt mały by zmieścił się jeszcze Bluetooth. Skoro już mowa o czytnikach robiących z telefonu terminal to warto dodać, że przepisy póki co zabraniają wpisywania kodu pin na ekranie telefonu, więc transakcje są podpiswane.

      Wracając do standardowch terminali moim zdaniem powinno być wymagane silne szyfrowanie i przypożądkowanie terminala do konkretnego konta użytkownika (merchanda). Wtedy obcy terminal nie przeszedłby uatoryzacji, co byłoby zauważalne już przy pierwszej transakcji. No i odejście od dialupu na rzecz GSM (a w zasadzie 3G) byłoby wskazane z uwagi na większe mozliwości szyfrowania transmisji danych (można zastosować dodatkowe szyfrowanie wykraczające poza standardowe w GSM, vide telefony z modułem szyfrujacym). Swoją drogą posy są chyba ostatnim i wciąż prężnym bastionem dialupu (jakiś czas temu w osiedlowym Lewiatanie widziałem scenę nie pasującą do XXI w., mianowicie autoryzacja karty została przerwana bo jedna z pracownic mimo nawoływań kasjerki nie przerwała rozmowy przez telefon stacjonarny).

    • @Paweł – zazwyczaj do komunikacji przez jack audio wykorzystuje się emulację RS232 na liniach audio. Także żadnego bluetootha tam nie ma.

      A dlaczego komunikować się przez gniazdo słuchawkowe? Przede wszystkim jest dobrze ustandaryzowane i działa tak samo i na Androidzie i iOSie i wszędzie indziej, a poza tym nie jest objęte opłatami licencyjnymi za wykorzystanie, jak np. złącze na spodzie iPhona.

  21. re: raj
    “Jak złodziej może podmienić terminal w sklepie nie zwracając uwagi sprzedawcy, który ma przecież ten terminal w zasięgu ręki?
    W dodatku terminal jest podłączony do przynajmniej 2 przewodów – zasilania i linii telefonicznej.”

    Masz rację! Autor notki niech napisze jak ci złodzieje mogą to zrobić!

    • A po co instruować złodziejaszków? Jak bardzo chcesz wiedzieć jak, to przeczytaj jeszcze raz wszystkie komentarze, na pewno się domyślisz, bo co najmniej kilka hipotetycznych sugestii padło.

  22. Takie cudo bym zgłosił na infolinię co jest naklejone na bankomacie.

  23. Pinpad musi być sparowany z terminalem. Parowania nie wykona się bez zatelefonowania do banku … tyle co mogę powiedzieć w temacie.
    Tak więc nie jest to takie hop siup, że podmienić można podczas nieuwagi sprzedawcy.
    No chyba że sprzedawca ma nieczyste intencje, to opcja z podmianą pinpadu jest jak najbardziej możliwa, ale jak bym był sprzedawcą to wolałbym zrobić jakąś denną promocję na której kroiłbym legalnie klientów niż skimmingować ich karty płatnicze. To krótko, bardzo krótkotrwały zarobek.

    • Nie musi. ;] A jeśli w Twoim wypadku musi to jest to wyłącznie polityka wew. danej sieci handlowej, korzystającej z tego sprzętu.

      Pinpad można zamienić dopóki spełnia wymagania techniczne terminalu. Co sprowadza się do zakupu takiego samego modelu jak używa sklep i dalej już jak w komentowanym artykule(pamięć +podmiana).

      @Johnny
      “Ponadto każdy sklep może wprowadzić jaką swoje oznaczenie w postaci nalepki nie widocznej na oko”
      W moim sklepie pinpady i terminale mają pod spodem naklejkę-plombę, która uniemożliwia dostęp do śrubek. Na tych naklejkach są m.in. numery seryjne urządzeń.
      Także sprawdzanie mogłoby sprowadzać się do sprawdzenia tych numerów…
      Chociaż pewnie pojawiłby się zdolny oszust, który zrobiłby własną naklejkę z danymi, którym wcześniej zrobił fotkę w sklepie?

    • ofc w konkretnie moim wypadku, po zamianie czegokolwiek w tym zestawie(pinpad, terminal, zasilacz od terminalu), wymagany jest restart terminalu i dalej wszystko automatycznie się łączy i jak to nazwałeś “paruje”.

      Restart jednak bardzo często jest wykonywany niemal machinalnie przez kasjerów, gdy tylko “coś jest nie tak”.

    • @r
      Widzisz są dostawcy terminali, którzy parują i podmiana pinpada kończy się niestety wizytą serwisanta który musi wymienić cały zestaw na “sparowany”. Wszystko zależy kto obsługuje te terminale.

  24. Panie Piotrze, skąd ma Pan takie informacje ? Czy sytuacja taka zdarzyła się w krakowskim Realu (opis pod zdjęciem) i skąd wiadomo że miała miejsce ? Informacja którą Pan podał może być równie dobrze zmyślona.

    • Od policji w Toronto, ale faktycznie, nie musimy jej ufać.

  25. Co do czytników kart do iPada przez Jacka – są to czytniki paska magnetycznego – zwykła głowica jak w magnetofonie. Dane ze ścieżek to dość wolno zmienny przebieg który da się przenieść torem analogowym telefonu. Resztę robi już aplikacja która te dane interpretuje.

  26. Jakieś dwa lata temu w UK i Irlandii terminale były podmieniane na takie, które miały wbudowany modem gsm i tą drogą wysyłały wykradzione dane z kart. Do podmian dochodziło poprzez fałszywych serwisantów oraz podczas włamań do sklepów (np. dla tzw. niepoznaki coś tam ukradziono a naprawdę chodziło o podmianę POSa). Podmienione urządzenia były zewnętrznie nie do odróżnienia od oryginalnych.

  27. piszecie, jak podmienic terminal.
    podejrzewam ze jak by do restauracji wszedl facet, przedstawil sie ze jest serwisantem, poniewaz maja zle odczyty z terminala. to podczas wymiany terminala by jeszcze kawe gratis dostal. a pewnie nawet manager nie probowal by sie zastanowic ze cos jest nie, tak.

  28. […] się, jak złodziej może zmusić swój terminal do generowania dowolnego UN — poczytajcie nasze poprzednie artykuły o hackowaniu terminali […]

  29. W całodobowych tesco i innych marketach wieczorową porą, POSy na stanowiskach RTV AGD itp, są opuszczone, i tylko czekają na podmianę.

  30. Moja mama ostatnio poszla do sklepu i gdy wpisywala pin w terminalu pojawil sie on na ekranie …

  31. @Marcin Maziarz
    Drogi imbecylu, nie wiesz, o czym mówisz, jestem synem mężczyzny, którego zacytowałeś. To, co pojawia się w gazetach, jest efektem manipulacyjnych i sensacyjnych mediów, które zarobiły pieniądze i władzę przed świętami Bożego Narodzenia, co dowodzi oczywistości o firmach obsługujących karty kredytowe, które brazylijskie media, zwłaszcza program Fantástico sieci Globo, nawet jeśli teraz to robi, obciąża swoich poddanych, nie pozostawiając szansy na przywrócenie godności później, ona w tym czasie oskarżyła mojego ojca, inżyniera i sprawiła, że ​​stracił pracę za stworzenie projektu elektronicznego, jak wiele innych, które już stworzył dla różnych celów. Został później osądzony i uniewinniony jednogłośnie. Gdybyście mieli więcej przyzwoitości, nie nazwalibyście całego imienia człowieka, nie idąc wystarczająco głęboko, aby dać mu poczucie wartości, a nawet gdyby był gotów dokonać oceny wartości, musiałby zastanowić się, czy ma to znaczenie.
    Nie wiem, jak jest w twoim kraju, ale mój jest bardzo trudny do utrzymania godności, gdy nieprzygotowani i płytcy ludzie z innych krajów mówią nonsensy, jeszcze trudniej.

  32. Widzę, że wielu tzw. fachowców już się wypowiedziało. Muszę ich wszystkich zmartwić. Podmiana samego pinpada połączonego z terminalem nie jest możliwa ponieważ przesył danych jest zablokowany przez bardzo długi klucz haseł a poza tym terminal natychmiast wykrywa tę wadę i przestaje wykonywać transakcje – również te zbliżeniowe. Można oczywiście podmienić cały terminal, np. przenośny. W przypadku większości firm drukuje on jednak pokwitowanie, które wskazuje pewne szczegółowe dane, które nie są do skopiowania nawet przez bardzo inteligentnego cwaniaczka. No i ostatecznie weryfikacji dokonuje sam sprzedawca na koniec dnia sprawdzając czy kwota należna wpłynie mu na konto w dniu jutrzejszym. Kupujący weryfikuje też na swoim koncie czy płatności, które wykonał zgadzają się z faktycznymi.
    Jeśli zatem już koniecznie chcesz siedzieć przez wiele lat to taniej i łatwiej będzie kupić sobie drukarkę kolorową do banknotów.

Odpowiadasz na komentarz chaker

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: