(Nie)Bezpieczne bankomaty

Piotr Błaszczeć

wtorek, 07 listopada 2006 14:53

Aktualnie szczególnie młode pokolenie korzysta już tylko z tzw. "flexible friends" czyli popularnych kart bankomatowych lub kredytowych.
Żyjemy w czasach gdy najlepszym i często jedynym dostarczycielem pieniędzy w formie tradycyjnej jest bankomat.
Od ponad 10 lat bankomaty zyskały ogromne nasze zaufanie. Czy jednak możemy im bezgranicznie zaufać?

Tak naprawdę problemy z bankomatami są były i będą. Ich błędy to kwestia skali a to wcale nie znaczy, że źle funkcjonują, bądź oszukują. Inna sprawa, że tylko niewielka część nieprawidłowości zostaje ujawniona ponieważ bankom bardzo zależy na wyciszeniu tematu z wiadomych powodów - nie chcą stracić klientów.
Najcześciej jednak wszelakie błędy są spowodowane błędami ludzkimi. No co więc musimy zwracać uwagę...

Na początek jednak mały opis. Bankomat to tak naprawdę zwykły komputer. Najczęściej jeszcze pod kontrolą - i tu zaskoczenie MacOS - choć powoli i tu pojawiają się już Windowsy. Podłączony oczywiście do sieci (dane nie wymagają dużej przepustowości bo "ekrany" są ładowane z dysku lokalnego) do tego skrypt podnoszący wszystko po restarcie maszyny i w sumie tyle. Zamiast klawiatury podłączony jest tzw. KDM do konfiguracji którą programuje się tak prosto jak dawne terminale. W sumie odnośnie sprzętu IT to tyle. Resztę w osobnej obudowie zajmują kasety z pieniędzmi. Każdy poziom to inna kaseta - np na dole 100, wyżej 50, wyżej 20.

Tak naprawdę w bankomatach wcale nie ma tak dużo pieniędzy jak się komuś wydaje ponieważ bankom kompletnie się to nie opłaca i wręcz oddziały płacą kary za zbyt dużą ilość gotówki w bankomacie. Oczywiście bardzo ostro monitorowana jest dostępność bankomatów i średnio wychodzi na 98-99% czasu 24-godzinnego miesięcznie.

Pierwsza rzecz, którą kiedyś przeżyłem to pomyłka w zakładaniu kaset przez pracownika. Niby nic a gość zaraz po załadowaniu poszedł wypłacić sobie pieniądze a dla bankomatu wypłata np 100 PLN to kaseta na dole a tam włożył 50-tki. Nie muszę dodawać, że z konta zeszło oczywiście 100 PLN.

Idąc dalej - w ostatnim czasie przedstawiciele producentów i operatorów bankomatów stwierdzili, że wprowadzili nowe procedury które w 100% gwarantują bezpieczeństwo ich produktów. Dlaczego musieli to zrobić. Otóż zostali oszukani. Oszukała ich grupa przestępcza z Europy Wschodniej (węgiersko-rosyjska). Zainstalowała ona ponad 50 bankomatów w Nowym Jorku, Kalifornii i na Florydzie. Wszystkie bankomaty zapisywały informacje z paska magnetycznego karty oraz rejestrowały wprowadzany PIN, przed jego zakodowaniem. W ten sposób w niewielkim okresie czasu przestępcom udało się zebrać informacje o ponad 21.000 kart wydanych przez 1.400 różnych banków. wszystko wyszło na jaw bo ludziom zaćżęło brakować pieniędzy na kontach a ile brakowało - około 4 milionów dolarów. Większości członków gangu dotychczas nie udało się schwytać a tych co zostali schwytani wykorzystali dziennikarze NBC, którzy przeprowadzili pewien test. Dostali się do jednego z najbardziej znanych oszustów kartowych, który przebywa obecnie na warunkowym zwolnieniu z więzienia i zlecili mu zakup bankomatu. Jak się okazało nie było z tym najmniejszych problemów, a sprzedawcy nie zainteresowali się wcale przeszłością kupującego. Za jedyne $3.500 zakupić bankomat i rozpocząć swoją działalność.

Pomijając jednak pomyłki pracowników Banku i producentów bądź serwisantów na co musimy uważać?

Podchodząc do bankomatu najlepiej go obejrzeć. Tzn. jakiś czas temu i internecie był opisany jeden bankomat (ten z wbudowanych w ścianę firmy nieważne jakiej) gdzie na ścianie zaraz przy klawiaturze znajdowało się plastikowe cacko z niby ulotkami. Dziwne tylko z że miało w jednym miejscu miało miejsce przezroczyste za którym znajdował się obiektyw kamery... więc PIN-y już ktoś zdobył. Widać to na zdjęciach:


Normalny widok	Miniaturowa kamera	Co jest obserwowane

Uwagę należy również zwrócić na to, czy nie ma zainstalowanego jakiegoś "daszka" pod którym ukryta jest kamera skierowana na klawiaturę.

Dlaczego tak bardzo musimy uważać - lub dlaczego tak wiele zagrożeń się pojawia. Odpowiedź jest oczywista. Mając PIN pozostaje już tylko dobrać się do karty - co wcale nie oznacza, że trzeba ją ukraść. Bankomat posiada bowiem wszystkie informacje niezbędne do skopiowania karty płatniczej klienta. A tak skopiowana karta może posłużyć przestępcom do zakupów na koszt ofiary. Niemiecka policja zatrzymała pięciu mężczyzn, którzy zajmowali się montowaniem nakładek na bankomaty. Przy pomocy zapamiętanych PIN-ów oraz zczytanych informacji z pasków magmatycznych tworzyli kopie kart, które służyły do pobierania pieniędzy z kont swoich ofiar.
Jak to działa? Klient po wprowadzaniu do bankomatu swojej karty, wpisuje PIN nie na klawiaturze oryginalnej, lecz na kopii, która zapamiętuje wprowadzony kod. Nakładka jest wykonana w taki sposób, że naciskając jej przyciski jednocześnie naciskane są oryginalna klawisze maszyny. W związku z tym klient nie widzi jakiejkolwiek różnicy w funkcjonowaniu bankomatu. Jednocześnie w miejscu gdzie wprowadzamy kartę do bankomatu umieszczony jest czytnik sczytujący dane zawarte na pasku magnetycznym karty.


Klawiatura normalna	klawiatura z nakładką

Czytnik normalny	Fałszywa nakładka

Kolejny sposób wykorzystywany przez przestepców dotyczy już samej wypłaty pieniędzy. Wprowadzają oni specjalne blaszki w otwór którym bankomat wydaje pieniądze. Osoba, która chce dokonać wypłaty z bankomatu przeprowadza całą procedurę transakcji, lecz gdy bankomat ma wydać pieniądze nagle wyłącza się i wyświetla komunikat o błędzie. Po krótkiej chwili zdezorientowany klient odchodzi od bankomatu. Wyłączenie bankomatu jest spowodowane tą właśnie blaszką umieszczona przez przestępców, a następuje ono w momencie, gdy pieniądze są już przy samym otworze wydającym je. Po odejściu klienta od bankomatu wraca przestępca (który najczęściej znajduje się gdzieś w pobliżu i czeka np. w kolejce) i wyciąga pieniądze, których nie odebrał klient. Bankomat jest tymczasem nieczynny, aż do przyjazdu ekipy serwisowej. Ta stwierdza jednak, ze klient pieniądze otrzymał, gdyż nie ma ich w mechanizmie bankomatu. Sposób prosty, bardzo skuteczny i bardzo ciężki do udowodnienia dla próbujących je odzyskać od banku.

Na koniec prezentuję "zasady bezpiecznej obsługi bankomatów":

najlepiej korzystać z bankomatów w dzień (raczej unikać nocy czy zmroku)
sprawdź czy czasem nie jest coś podłączone w okolicach PIN-PADU
jeśli dostrzegasz zmiany lub przeróbki przy bankomacie poinformuj Policję lub Bank
jeśli coś Cię niepokoi w otoczeniu (np zachowanie osób) zaniechaj wypłaty lub poczekaj
przy wprowadzaniu PIN-u zawsze zasłaniaj wprowadzanie ręką
kontroluj stan swojego konta - jesli zauważysz podejrzane transakcje natychmiast informuj bank
jeśli nie dostałeś pieniędzy lub karty zapamiętaj godzinę i natychmiast poinformuj bank

Dodatkowo przy płatnościach w restauracjach, na stacjach lub w innych punktach nigdy nie dopuszczaj by karta zniknęła z Twojego pola widzenia. Jeśli terminal jest na zapleczu bądź pod ladą poproś byś mógł go widzieć. To naprawdę bardzo wazne ponieważ wcale nie trzeba długo szukać by znaleźć urządzenia kopiujące.

Szczegóły możecie Państwo znaleźć na stronie Policji: http://www.policja.katowice.pl/bankomaty.htm

oraz na bardzo dobrej stronie zajmującej się kartami bankowymi ogólnie:

http://www.kartyonline.pl (z tej też strony pochodzi część zdjęć)

« poprzednia		następna »

Dodaj komentarz

Użytkownicy portalu LOCOS.pl publikują swoje komentarze i opinie wyłącznie na własną odpowiedzialność. Komentarze internautów są ich prywatnymi opiniami i nie odzwierciedlają poglądów wydawcy oraz redakcji portalu. LOCOS.PL nie ponosi tym samym odpowiedzialności za treści zamieszczanych komentarzy i opinii.
Użytkownikom portalu LOCOS.pl zabrania się publikowania treści sprzecznych z prawem, wzywających do nienawiści rasowej, wyznaniowej, etnicznej, czy też propagujących przemoc.
Treści składające się na komentarz lub opinię użytkownika nie mogą zawierać wulgaryzmów ani słów powszechnie uznanych za obelżywe. Nie mogą zawierać również odnośników do innych stron www, a także danych osobowych, teleadresowych lub adresów e-mail.

Imię (obowiązkowe)

E-Mail (obowiązkowe)

Zawiadom mnie o nowych komentarzach

Kod antysapmowy
Odśwież

Wyślij

JComments

Please update your Flash Player to view content.
QUBER - get it free

Video

Aktualności

Luki, błędy, podatności

Najpopularniejsze narzędzia dostępne w sieci

Baza wiedzy

Bezpieczeństwo fizyczne

Porady inne

Organizacje

Reklama

RSS
LOCOS RSS

Popularne tagi
Atak Audyt Chiny Cisa Computerworld Cyberprzestępca Dane EXPLORER Google Ie Kaspersky Luka Malware Mcafee Microsoft Oszustwo Phishing Piractwo Policja Prasa Prawo Raport Spam Sąd Update

REKLAMA

Redaktor naczelny
Piotr Błaszczeć - specjalista ds. bezpieczeństwa IT, audytor systemów IT, ISO 27001, biegły sądowy, administrator sieci - na co dzień Główny Specjalista Bezpieczeństwa IT w jednej z agencji rządowych, członek ISACA International a także Sekcji Bezpieczeństwa Informacji oraz Sekcji Informatyki Sądowej Polskiego Towarzystwa Informatycznego, członek Instytutu Informatyki Śledczej e-mail: pb@locos.pl www.blaszczec.pl

Redaktor naczelny

Piotr Błaszczeć - specjalista ds. bezpieczeństwa IT, audytor systemów IT, ISO 27001, biegły sądowy, administrator sieci - na co dzień Główny Specjalista Bezpieczeństwa IT w jednej z agencji rządowych, członek ISACA International a także Sekcji Bezpieczeństwa Informacji oraz Sekcji Informatyki Sądowej Polskiego Towarzystwa Informatycznego, członek Instytutu Informatyki Śledczej
e-mail: pb@locos.pl
www.blaszczec.pl

Oficjalni partnerzy firmy LOCOS i portalu LOCOS.PL: