Jedni znają fach, inni sztukę oszukiwania bankomatów i podrabiania kart. Ci pierwsi wpadają najczęściej - tak twierdzą skimmerzy, z którymi udało nam się porozmawiać o... metodach oszukiwania bankomatów. A jest ich wiele, co potwierdzają policjanci z Komendy Głównej Policji w Warszawie.
Zrobili go sami, do złudzenia przypominał prawdziwy. Skąd wzięli obudowę? Mówią, że znaleźli na złomowisku. Przez kilka godzin działał w centrum Wrocławia. Bankomat. Skimerska maestria, choć sztuka na raz. Gdy wyszło na jaw, że maszyna skanuje karty zamiast wydawać pieniądze, wpadło kilku naraz. Właśnie próbowali przenieść bankomat w inne miejsce. "Podbieracze”- wpadają najczęściej.
Podbieracze, czyli skimmerzy, potrafią wyciągnąć numer PIN twojej karty kredytowej i dane zapisane na jej pasku magnetycznym. A potem, gdzieś w Londynie lub Kijowie, z bankomatu przy pubie czy na stacji benzynowej również pieniądze z twojego konta. Ich broń to mikrokamera z minimalnym zasilaniem, czytnik kart, klawiatura. I dwustronna taśma przylepna. Kamerka lub klawiatura rejestrują cyfry wbijanego pinu, czytnik kart skanuje pasek karty. Wszystko razem za niewiele ponad 100 zł z najbliższego sklepu z elektroniką. Jedyny trud to zrobienie listwy, która rażąco nie odbiega od wyglądu bankomatu. Do niej mocuje się mikrokamerę.
- Nakładki często montowane są nie w samym bankomacie, ale przy drzwiach do pomieszczenia, w którym się znajduje. Kamerka sprawdza ruch palców na klawiaturze, która też może być fałszywa, doklejona na prawdziwą. Jednak zazwyczaj są to kamerki – mówi nadkomisarz Krzysztof Hajdas z Komendy Głównej Policji w Warszawie. Samo zamontowanie całego zestawu na bankomacie trwa, wbrew pozorom, moment.
- Wystarczy kilkadziesiąt sekund. Listwę z kamerą przylepia się na taśmę dwustronną. Niekiedy kamera schowana jest np.: w stojaku na ulotki – dodaje Hajdas.
Da się to zrobić mimo kamery bankomatowej. Bo Podbieracze wiedzą, że rejestruje ruch przy bankomacie, ale nie samą klawiaturę. Widać człowieka, ale nie jego palce. Dane z kamery i czytnika magnetycznego są przekazywane, niekiedy drogą radiową, wifi lub poprzez sms, do „klonów”. To kumple podbieraczy, którzy za pomocą prostego urządzenia nagrywają otrzymane dane na karty z paskiem magnetycznym np. miejską czy jedną z tych bezpłatnie otrzymywanych w różnego rodzaju promocjach. Lub kupowanych za grosze w Internecie. I znowu podbieracze ruszają na miasto. Z lewymi kartami, po kasę. A że karty nie znają granic, więc mogą to zrobić wszędzie.
 |  |
| Oryginalna klawiatura bankomatu | Nakładka na klawiaturę |
- Dlatego tak trudno oszacować skalę skimmerskiej roboty. Rocznie odnotowujemy kilkanaście przypadków skimmingu w Polsce, przy czym jest pewna prawidłowość. Otóż, karty skanowane na zachodzie Europy, np.: w Wielkiej Brytanii są realizowane w Polsce, znacznie rzadziej natomiast skanowane są w Polsce a realizowane zagranicą – mówi Hajdas.
Podbieracze to głównie obcokrajowcy.
- Jak dotąd zatrzymaliśmy jednego Polaka a rozbiliśmy kilka grup Rumunów, Węgrów i Bułgarów, którzy realizowali karty zeskanowane na
zachodzie – dodaje Hajdas.
 | |
| Oryginalna i fałszywa wsuwnia kart |
Zwłaszcza Rumuni pokochali nasze bankomaty. Ale nie tylko. W zeszłym roku, na lotnisku Okęcie zatrzymano obywatela Wenezueli, byłego pracownika firmy produkującej bankomaty, który na podstawie lewych kart oskubał ponad 80 bankomatów, głównie w Warszawie. Czy działał w pojedynkę? Mógł choć zazwyczaj podbieracze działają w grupach
- W których jest ścisły podział ról. Jedni produkują urządzenia, inni instalują je w bankomatach, kolejni produkują karty, które jeszcze inni realizują. Często jest tak, że nie znają się między sobą – mówi Hajdas.
A słyszał o metodzie „na blaszkę”?
- To znaczy?
Wkłada się niewielką blaszkę w otwór wydający gotówkę. Gdy bankomat ma ją wypłacić, włącza się tryb awaryjny i wyświetla komunikat o błędzie. Gdy klient odchodzi wkurzony sądząc, że bankomat się zepsuł, podbieracz podchodzi, wyciąga blaszkę i pieniądze.
Metoda prosta jak drut. Dla niektórych za prosta. Hackerzy znają inne. Ciekawsze
Nie powiem nic
Wśród hackerów krąży dowcip o tym, jak zhackować bankomat. Potrzebny jest laptop i młotek. Podchodzimy do bankomatu i walimy młotkiem do skutku. Więc, po co laptop? A co to za hacker bez laptopa? W Sosnowcu, najpierw włamywali się do budynku, w którym był bankomat, potem palnikiem wycięli dziurę w bankomacie. Uciekając, zabrali laptopa ze sklepu w którym był bankomat.
- No i gdzie tu finezja? – pyta Gandalf znany w światku hackerskim z zamiłowania do bankomatów, do którego dotarliśmy poprzez użytkowników jednego z forum dla hackerów. Krąży o nim mit, że potrafi wyciągnąć z maszyny dane za pomocą zwykłej empetrójki.
- Nie jestem specem od bankomatów, lecz od łamania lub wynajdywania luk w systemach zabezpieczeń urządzeń elektroniczno-mechanicznych – poprawia Gandalf.
Dziwny gość, niezbyt młody, niezbyt zadbany, niezbyt przystojny nawet nie nazbyt miły ani rozmowny. Większość pytań zbywa milczeniem lub półsłówkiem. Trudno wydobyć z niego konkrety. Te co ciekawsze.
- Nie powiem ci nic ciekawego, nie licz na to – zastrzegł na początku.
A jednak.
Na serwisanta
Gandalf „zrobił” kilkanaście bankomatów. Mówi, że z żadnego kasy jednak nie wziął, choć mógł, bo wystarczyła satysfakcja. Po każdej akcji powiadamiał informatyków banku, do którego należał bankomat, informując ich o wadzie zabezpieczenia. Tak mówi, choć jego Acer Ferrari 1100 z dyskiem wielkim jak Torwar chyba nie z pensji.
 | |
- Po kilku dniach wracam, robie to samo i co się okazuje, nikt nawet palcem nie ruszył żeby sprawę załatać. Wtedy naprawdę mam ochotę opróżnić taki bankomat do gołej deski – mówi Gandalf.
Może i jest idealistą, hackerem Don Kichotem? A może najzwyczajniej ściemnia.
- Zdziwiłbyś się gdybyś wiedział ile jest sposobów na oszukanie bankomatu. Bo maszyna, choć inteligentna, nie myśli, łatwo jej wmówić, co ma robić. I robi. Gliniarze znają raptem kilka, tych najprostszych sposobów jak podkładki czy klawiaturki. To sztuczka dla dresów. Prawdziwa sztuka polega na „poproszeniu” bankomatu żeby sam nam dał, czego potrzebujemy, ale do tego trzeba ludzkiej głupoty oraz lat spędzonych nad książkami i schematami – mówi Gandalf.
Twierdzi, że na tym właśnie uleciała mu młodość.
- Gdy inni czytali komiksy ja czytałem specyfikacje kart kredytowych ISO/IEC 7812-1 i ANSI X4, procedury serwisowe i manuale ATM – mówi.
Dlatego dzisiaj ponoć wie jak „rozmawiać” z bankomatem.
- Bankomat sam w sobie jest łatwym celem. Mechanizm wydający pieniądze reaguje na polecenia wewnętrznego komputera w bankomacie, który łatwiej oszukać niż rozpruć blachę. We wnętrzu tego komputera tkwi to samo, co w większości PC-tów na całym świecie – system operacyjny Windows. W starszych maszynach to jest Windows 2000, w nowszych Windows XP. I to wystarczy. W obu są dziury – mówi hacker.
Które łatwo wykorzystać i oszukać mechanizm bankomatu. Sposobów jest wiele. Najprostszym jest ten „na serwisanta:
- Wystarczy, że wklepiesz na klawiaturze, zamiast kodu PIN, sekwencję cyfr będących domyślnym kodem administracyjnym, który zna każdy serwisant. Niedawno znalazłem taki kod w jednym z oficjalnych podręczników serwisowych. System rozpoznaje cię, jako serwisanta i staje się jak młode ciało - pozwala robić ze sobą, co zechcesz. Możesz tak przeprogramować mechanizm wydający banknoty, że dziesięciozłotowe będzie traktował jak stuzłotowe i zamiast dziesiątek zacznie wydawać setki –mówi Gandalf.
Sposobów na „ogłupienie” bankomatu jest ponoć więcej. O wszystkich Gandalf nie mówi
- Przy okazji, nie każdy wie o ciekawej funkcji klawiatury niektórych bankomatów. Otóż, jak się wsadzi kartę do bankomatu i wpisze kod pin, ale od końca lub przestawiając cyfry (, zamiast informacji dotyczącej salda, do banku idzie informacja o napadzie i konto jest blokowane. W niektórych krajach automatycznie powiadamiana jest także policja – mówi Gandalf.
A metoda „na blaszkę”?
- Zapytaj dresów nie hackera. Ale w skrócie powiem ci tylko, że chodzi o oszukanie czujników sterujących funkcją „reversal” odpowiedzialną za wciąganie z powrotem do kasety wewnętrznej banknotów niepodjętych w odpowiednim czasie. Maszyna zamiast je wciągać, wydaje je – mówi hacker.
Gandalf twierdzi, że shakować można wszystko, nie tylko bankomaty, ale też budki telefoniczne, parkometry, nawet klimatyzatory.
- Hakerzy długo nie mogli znaleźć sposobu na komputery Wall Street. Może dlatego, że do ich zabezpieczenia wynajęto innych hackerów. Ci jednak pominęli z pozoru błaha rzecz. Mianowicie, że system klimatyzacji sterowany jest komputerowo. Więc shakowali klimatyzatory i dzięki temu dostali się do systemu informatycznego. A jak już do niego weszli to nie było mocnych. Podobnie jest z bankomatami. Tyle, że nad ich ochrona nie pracują hakerzy – mówi Gandalf.
A jak to było z tą empetrójką? Bujda to czy coś jest na rzeczy?
- Jasne, że bujda, choć swego czasu dużo szumu narobił pewien Anglik, skimmer, który wykorzystał odtwarzacz MP3 do zczytywania danych kart płatniczych w chwili, gdy były transmitowane do banku. Potem wykorzystywał je do klonowania kart. W sumie, nic nowego, bo tzw pishing ma się świetnie także w przypadku bankomatów, ale gość zaskoczył wszystkich pomysłowością i narzędziem – mówi Gandalf.
Nie daj się podbieraczowi:
-
Wstukując kod PIN na klawiaturze, zawsze zasłaniaj ją ręka, zarówno w
bankomacie jak i w sklepie. Zdarzały się przypadki, że kamery
instalowano w sklepach i na stacjach benzynowych
- Aby przekonać
się czy na klawiaturze jest zainstalowana nakładka, sprawdź czy ta co
jest nie wystaje zbytnio ponad pulpit lub spróbuj podważyć ją palcem.
Nie powinna się odkleić.
Kilka tygodni temu, aresztowano w Turcji mistrza skimmingu – trzydziestoletniego faceta o pseudonimie Chaoo. Znaleziono przy nim kilka odtwarzaczy mp3 i sklonowane karty jednego z banków. Dwukrotnie odwiedzał Polskę.
0 komentarze:
Prześlij komentarz