{display:none;}

суббота, 15 августа 2009 г.

Верни мои деньги, банкомат!

Бывает такое, что привычная, казалось бы, вещь, встречается с такой изюминкой, после которой начинаешь смотреть на эту вещь совершенно иначе. Так случилось и у меня… пару лет снимал деньги с карточки в сотне мест и бед не знал… а тут приехал в один городок и в первом же банкомате мне повстречалась эта самая изюминка. Причем место и обстоятельство были такими, что за пару мгновений пищи для размышления и впечатлений накопилось недели на две вперед.



Я почему-то думал, что это может быть только в стране вечнозеленых президентов, а у нас – просто нет кадров, чтобы заниматься этим. Оказывается, я глубоко ошибался. Просто не каждый день встретишь то, про что читал только в журналах/интернете или видел в фильмах [ кстати, не помню ни одного фильма, где бы фигурировал скиммер :) ].

Что такое скиммер? Если сделать запрос в яндексе, то из первых строк станет ясно, что это какой-то насос для очистки бассейнов. Но сами посудите – насос и банкомат… что-то не то. Хотя, насосом качать бабки из банкомата – вполне )



Не вдаваясь в историю происхождения названия, скиммер – это небольшое устройство, которое может помочь злоумышленникам воспользоваться Вашей пластиковой карточкой.

Те, кто в теме, сейчас наверное читают и хихикают над моей трактовкой, но это первая трактовка, что пришла мне в голову.

Скиммер обычно состоит из двух элементов – накладной клавиатуры (пин-пад) и сканера магнитной ленты карты.

Пин-пад аккурат размещается поверх родной клавиатуры банкомата и позволяет злоумышленникам узнать Ваш пин-код (для этого так же может использоваться миниатюрная камера), сканер же вешается поверх щели приема карт. Причем, маскировка делает свое грязное дело.





Вы вставляете карточку в банкомат (не подозревая, что вставляете ее в сканер карт злоумышленников, после которого карточка попадает в нужную Вам щель банкомата) – вуаля, данные о вашей карте (дамп) уже либо на устройстве хранения данных в сканере, либо по беспроводному интерфейсу уже переданы кому-то. Дальше Вы вводите пин-код, который так же либо сохраняется, либо сразу отправляется. Все, для того чтобы пользоваться вашими деньгами, остается всего лишь изготовить дубликат карты, что делается, судя по всему, достаточно легко – используя дамп, программируется безликий кусок пластика и готово.

Кстати, гораздо хуже, если никакого накладной клавиатуры на устройстве приема карт банкомата нет или просто кто-то палит, как вы вводите пин-код. Еще хуже, если при этом вы вышли из своего намытого до зеркального блеска Audi Q7 (99, третий бумер, лансер – нужное подчеркнуть), в мажорной дубленке, с гарнитурой, но без каски. В таком случае есть все шансы тупо получить чем-то тяжелым по голове и с таким же успехом отдать деньги с карточки. Но этот случай не так интересен – гоп-стоп был везде и всегда.



Несмотря на то, что всегда смотрю на банкомат, прежде чем вставить карту, в тот раз я ее вставил. Были не одни, было не до банкомата. Хотел было вводить пин-код, как заметил, что клавиатура не плоская, а выпуклая, как быть не должно. Сравнив быстро пальцем фактуру клавы и банкомата, мысленно пытаюсь убедить себя, что все ок. Через секунду говорю друзьям:
— Блин, походу скиммер.
Замерли. Поддеваю ногтем клавиатуру… сначала вошел ноготок, потом палец…сплошной секс ). Когда я понял, что клава отходит, я решил, что сломал банкомат и что под кнопками ничего не будет, а я тупо приклею ее обратно и сниму деньги.
Подняв клаву, мы обомлели – там была точная копия нашей клавы, только идеально ровно встроенная в поверхность банкомата.
— Ё-маё, Бурумыч, скиммер! Скиммер, мать его! О Боги, я первый раз такое вижу, поверни, дай сфоткаю!
— Да, тоже первый раз вижу. Только мой дамп уже там, а должен быть чей-нибудь ваш )



Перевожу взгляд на картоприемник – уже ничего не соображая, пытаюсь вытащить карту. Ничего не выходит. Вспоминаю про кнопку «Отмена», жму – карта вылазит. Хух.
Поддевая ногтями выпирающий картоприемник, он так же отходит – от чего жути только прибавилось. Пару секунд рассматриваем устройство – горят какие-то лампочки, батарейка, аккуратная пайка… да, видно, что этим вопросом занимаются серьезно. Еще через мгновение нас всех одновременно посещает мысль, что больше нам находиться тут не стоит )

Дальше все как в фильме ) Менты пообещали прибыть в течение часа, что в нашем случае, естественно, нам уже не делало никакой погоды. Скиммер мирным путем вернулся законным владельцам ) А мы, понимая, что ходим под Богом, телепортировались.

В общем, примерно такие были эмоции при первом знакомстве. Что же за пищу для размышлений мы тогда получили?

Во-первых, это было первое практическое занятие – узнали как выглядит, что из себя представляет, кем и как охраняется. Весь текст дальше – догадки.

Из недостоверных источников, цена за комплект устройства подобного типа (сами железки, программное обеспечение и т.п.) стоит порядка 3-5 тысяч долларов (несмотря на то, что ничего сверхъестественного там нет), что уже как минимум является причиной не оставлять девайс без присмотра. Цена зависит от конструкции и от комплектации. Что-то может автономно долго работать, что-то хранить дампы у себя на карте памяти, что-то – сразу передает информацию владельцам (экзотика).

Цитата с какого-то сайта: «Информация о скиммерах появлялась в новостях уже не раз, но устройства совершенствуются с каждым днем. На этот раз скиммеру уже не нужно подходить к банкомату, чтобы снять информацию — она высылается через СМС. Устройство может отправить до 1856 СМС на одной подзарядке. Стоит 8,5 тыс долларов. Причем краска для внешних деталей покупается на тех же заводах, что и производители банкоматов, учитывается температура, угол наклона, время покраски. На первый взгляд отличить практически невозможно.



Единственное НО… Если сотрудники банка оперативно среагируют и отследят сим-карту злоумышленника, то поймать его, возможно, будет и проще…»

Следовательно, где-то в пределах прямой видимости точно кто-то есть, даже если Вы его не видите. Зато видят Вас, например, из тонированной девятки через дорогу ;) Так как работа наблюдающего, по сути – охрана объекта, то я почти уверен, что и пропорции у него – как у достойного охранника ;)

Если Вы считаете, что обдурили всех, отодрав скиммер и убежав – не спешите радоваться. Могут по дампу найти, могли и паспорт выронить – всякое бывает ;) зато потом хэппи энда может не случиться. Так что подумайте, стоит ли вообще связываться – может проще снять деньги в другом месте?



Дальше можно поразмышлять о местах обитания скиммеров. Понятное дело, что идеальное место – там, где больше народу, причем не студентов со стипендиями, а нормального такого народу. Думаю, скиммер вы сможете встретить у вокзалов, аэропортов, казино, кафешек, кино, магазинов техники и прочих горбушек – одним словом в местах, где людям требуется снимать побольше денег.

Побродив пару часов по совку и горбушке, пройдя пару вокзалов – я так ничего интересного и не нашел. Отсюда, снова напрашивается вывод, что устройства находятся на своих местах не всегда.



Предполагаю, что сначала дядьки выясняют, в каком режиме обслуживается рыбное место – в какие дни и в какое время приезжают инкассаторы загрузить деньги, во сколько они проезжают и так далее. Т.к. инкассаторы наверняка каждый раз разные, то надеяться на их гуманность к скиммеру злоумышленнику не стоит. Поэтому, вероятно, скиммеры приклеивают и снимают по несколько раз на дню.

Но отсюда опять что-то да вытекает. Даже у самого одинокого банкомата обычно стоят камеры, за которыми кто-то да должен наблюдать из служб безопасности. А про банкоматы в отделениях банка я вообще не говорю. Таким образом, я не поверю, что каждый раз, вешая девайс на банкомат, этого никто не замечают и ничего не предпринимают. Да, злоумышленник может на пару секунд прикрыть собой камеру, успев сделать свое дело… но это же должно происходить несколько раз на дню!?! Думаю, даже постоянно вешать устройство и не надо – достаточно пару часов повисеть в один из вечеров праздничного дня.



Какой отсюда же напрашивается вывод? А такой, что все об этом прекрасно знают. И если девочка на ресепшене должна просто закрывать на это глаза, то владельцы банков наверняка живут не только на проценты вкладчиков =) иначе смысла разводить такую кормушку у себя под носом у них нет. Таким образом, еще раз доказывается отношение банковской сферы к обычному пользователю, честному, порой, человеку. А жаль )

Как-то зайдя в банк, на входе мне встретился охранник, который выходил покурить. Недолго думая, я решил поговорить с ним – вот такой у нас вышел диалог:

— Здравствуйте, хотел задать пару вопросов по безопасности банкоматов.
— Попробуй.
(в лоб) — Вы в курсе, что такое скиммер?
— Мм, слышал, а что?
— Недавно первый раз встретил такое устройство – обнаружил его только тогда, когда карточку уже вставил, но код не ввел. Могут ли, не зная пин-кода, расплачиваться от моего имени, например в интернете или простых магазинах?
— Вот это, честно, сказать, не знаю. Но береженого бог бережет – зайди, вон, да поменяй код, это 10 минут займет. А где встретил штуковину-то?
— Там-то. Но, честно сказать, был удивлен – думал, что такое только в штатах, а пишут про них только в журналах.
— Хех…в штатах =) ты же в России живешь. Пока американцы что-то придумывают, у нас уже сделают «анти». У них вирусы, у нас уже антивирусы и наоборот. Так что в стране желания грести деньги, ничего не делая, таких устройств не может не быть.
— Даже так! И много у нас… по Москве?
— Да хватает. Ты вот где живешь?
— Там-то
— Ну… недалеко от меня. Поискать – найдешь ;)
— Интересно. И чего ж с ними никто не борется?
— Да как не борются… борются. Просто раз они есть, значит это кому-то надо.
— Верно, нет дыма без огня. А как начальство банков к этому относится, они в курсе?
(Взбодрившись) – Конечно! )
— Вах. Т.е, получается, что не убирают хотя бы только потому, что начальству это тоже выгодно?
(Улыбаясь) – Ну… всяко бывает. А тебе это вообще все зачем?
— Да вот, столкнулся случайно, хотел узнать.
— Смотри, осторожней. У вас вот есть какое-нибудь правоведение в институте?
— Нет, но что-то подобное было.
— И что, не учили, какие вопросы и кому можно задавать, а кому какие – нет?
— Не учили, но я к вам исключительно в мирных целях ;)
— Да понятно. Просто иногда, задав безопасный, казалось бы, вопрос, можно вызывать неадекватную реакцию. То же самое и с поведением. Знал вот, что по банкомату стучать нельзя?
— Неа, а что, в ответ бьёт? ;)
— Нет. Но это уже может попасть под порчу имущества. Так у нас на днях зашел один пьяный, стукнул – приехал фургон, скрутили и забрали. Там же датчиков полно внутри… и пойди докажи, что ты его не взломать хотел.
— Серьезно у вас тут. Ладно, давайте вернемся. Расскажите что-нибудь про их устройство, как крепят, как обслуживают?
— Ну а чего тут рассказывать. Как устроены, не знаю точно, но обнаружить не так уж сложно. Это бабулькам 80-летним, которых государство все это время нае*ывало, уже не понять этих приколов, а ты если видишь, что что-то торчит – не суй и все, сними в другом месте.
— А если оторвут и смотаются?
— Ну оторви =) Сам понимаешь, такие вещи не без присмотра… не сразу, так потом где-то найдут. Похлопают по плечу, сам не заметишь.
— Интересно… и что, совсем никому нет дела до этого всего?
— Ну почему… бывают, иногда, показательные выступления – проезжают спецы, всем, кому надо пальцы загнут для галочки… а потом снова все на свои места встает.
— А у вас тут было чего интересного?
— Неа, это больше на банкоматах без банков, хотя всякое бывает.
— А, ну у вас-то тут банк вон, да…
— Максимум бывало, что деньги выхватят… но это ведь опять, чья ошибка? Вон, глянь… вышел с пачкой денег… чего вот не спрятать сразу, не убрать? Пересчитать же потом можно… или пин-коды вводят, не закрываясь… а подсмотреть тысячей способов можно. А потом жалуются…



— Где ж ваш автомат-то? ;)
(улыбаясь) – Да я вон, на танке сегодня. Далеко не убегут, если что ;) Ладно, давай, не май месяц, пойду. Мотай на ус.
— Успехов, благодарю!

В общем, вот такой диалог вышел, но конкретики почти никакой. Позже случайно мне удалось найти в сети человека в теме, которого повторно найти никак не удастся ) Я не занял у него много времени, но все же, немного информации, опять же подтверждающей мои догадки, появилось:

Я: Какие бывают по типам (способ хранения, способ передачи, питания)? Какие бывают по размерам? Какие примерно цены и от чего зависят? Откуда берутся – делают ли их серийно?
Он: Каждое устройство индивидуально по сути — затачивается под конкретный АТМ, т.к. основное требуемое свойство — незаметность. Серийно их никто не делает, т.к. это все же уголовно наказуемое деяние, но это не значит, что их все делают вручную. Цена на скиммер «под ключ» — от 5000 и выше. В основном это автономные устройства со встроенной памятью — «поставил, подождал, снял», вариантов с передачей данных у меня не было, но очевидно, что это гораздо безопаснее для владельцев.

// Тут собеседник не рассказал про размеры девайсов, но я нашел пару интересных изображений в интернете. Да-да, даже такая вот «зажигалка» (правильнее, «Кубик») в руке человека рядом с Вами в состоянии утянуть Ваше состояние.



Я: Как их крепят? Бывает тупо поверх клавы и щели. Но слышал, что чаще просто ставят камеры. Может еще что-то придумали?
Он: Все верно — в простых моделях крепится только на картоприемник + камера для снятия пинкода. Способов крепления камеры достаточно много.

// Окинув взглядом фотку банкомата, прикидываю, куда можно было бы спрятать камеру. Если это не «дополнительная» камера в банке, которая выглядит как настоящая, то вариантов остается не так много. Если человек высокий ростом, то камеру можно приклеить к верхней части АТМ, выпирающей над клавой – просто так их не увидишь, но слегка нагнувшись – легко. Или же можно повесить свою «лампу» для освещения, в прозрачный пластик которой спрятать «зёрнышко» от камеры (видели, каких размеров камеры в некоторых видео-домофонах? “.” – чуть больше этой точки)





Или вот как на фотке из инета – в коробочке для рекламок, изначально награжденной только информационной функцией.



Ну или ваш код могут тупо подсмотреть рядом стоящие люди ;) Поэтому зеркала на банкоматы клеят неспроста. Заботящиеся о клиентах банки на свои АТМ так же ставят специальные «заборы» на клавиатуру, которые помогают не палить код.



Я: Где чаще всего бывают – в закрытых или открытых банкоматах? Может какие-то банкоматы или банки особенно безответственно относятся к этому, а какие-то — дорожат клиентами? Излюбленные места обитания? Где больше — в Москве или Питере?

Он: Предпочтительнее открытые банкоматы. Чем больше проходимость народа — тем лучше. Насчет банков – хз. Любой фрикер тебе этого не скажет или заведомо «поменяет» нужные названия банков местам ;) Следят, конечно, все, но говорить о том что их АТМ заскиммили не будет никто. Где больше – имхо, в Питере. Но и в Москве, конечно, тоже хватает.

Снова я: Еще немного по ценам – купить можно только в инете или в супермаркетах тоже продаются? ;) Что в этом случае меняется? Что делать человеку, если он снял скиммер? )

Он: Готовый комплект, купленный на Митино или еще где — в 99% окажется нерабочим или уже использованным, и то, трудно найти то, что тебе надо. В интернете народ гораздо охотнее идет на контакт, но точно так же можно купить не то или же по завышенной цене. Цена, опять же, под заказ — от 5000. Если удалось снять скиммер — дело за малым — слить оттуда инфу и продать ее кардерам. Или дропам. Самому сливать денежный эквивалент — равноценно явке с повинной в органы.

// Хм, что-то опять эта цифра в 5K usd ;) На форумах же предложения совершенно разнятся – от 1К до 15.



Я: Кто вообще этим занимаются — ведь не просто пионеры-радиотехники? Как их устанавливают — под камерой банкомата каждый день ставят с утра и снимают перед приездом инкассаторов? Или даже они не помеха? )
Он: Кто занимается? Умные и осторожные фрикеры (не путать с фриками – моё прим.). Самый распространенный способ установки — после приезда и отъезда инкассаторской группы, через 5-10 минут «группа» возвращается. и опять уезжает. Схема приемлема для ОПГ, которые могут позволить имитировать спецодежду мастеров. Более простой вариант — установка на вечер-ночь, т.е. людей мало, инкасса не приедет гарантированно до утра (время приезда вычисляется простым наблюдением), но и безопасность выше. Еще устанавливают и снимают скиммеры обычно «шумной группой студентов», т.е. толпа окружает банкомат («блокирует лохов»), ставится скиммер… ну и варианты по фантазии…

Я: Хочется каких-то цифр ) Их риск хотя бы оправдан — насколько прибыльная такяа рыбалка? Или если не в баксах, то хотя бы в количестве дампов. Как часто тырят скиммеры? )

Он: Цена свободы у каждого разная, кто-то рискует, кто-то нет. Но не всегда же обязательно все делать самому ;) не обижай с % и все будет. Количество дампов = количеству карт вставленных в АТМ. Улов — никто никогда не говорил конкретных цифр. Но окупается не только аппарат, но и хватает на новый. Может слышал песню «В ресторане обеды, в доме нету соседей, а БВМ 7-ой серии — удачнее велосипеда» :)



Я: Слышал ;) А что вообще делают с дампами, каков их дальнейший путь? Нужно ли человеку менять пин-код, если он только вставил карту, но не ввел код? Как быстро дамп попадает «в темные руки» и сколько у человека есть времени на спасение бабосов? Дальше делают копию карточки или что вообще можно сделать, имея дамп со снятым пином? Как долго занимает расшифровка или это дело 5 секунд?

Он: см выше — их сливают кардерам или дропам. У кого какие контакты есть. Если пин не введен — менять его не нужно. Дамп попадает в руки дропов обычно через сутки-двое после снятия скиммера. Но если «операция» прошла успешно, человек узнает о том что с его счета ушли деньги только по смс-банкингу или при следующей проверке карты. Расшифровать что? Дамп? Дамп не расшифровывают. Его просто клонируют. Да, у дропов есть аппараты по клонированию карт (тоже дорогое удовольствие).



Уже не так все двусмысленно, как в первом диалоге, но тем не менее, картина все четче рисуется. Дали бы мне рукописи Да-Винчи, я бы их в миг разгадал ;)

Полазив в инете по различным форумам, был удивлен тому, сколько же информации в свободном доступе. Схемы, распайки, прошивки, мануалы, пошаговые инструкции и помимо этого, самое главное – люди, обладающие самым ценным – знаниями, информацией.

Схема считывающей головки сканера


Схема GSM-скиммера


Просто так, естественно, никто ничего не расскажет ) Мне даже двусмысленно не решились что-то рассказать, это же их хлеб. С другой стороны – всех денег не обналичить, а кто-то в нашей стране до сих пор зарабатывает честно. Так и получается – с одного конца провода — люди, боящиеся погонов, с другого – люди, боящиеся потерять деньги. И все же, не стоит забывать, что кто-то еще да работает честно.

Какие из этого делать выводы, каждый для себя делает сам ;) Для тех же, кому лень додумать, дам пару советов, которые помогут не потерять бездарно последние купоны на карточке:

1. Прежде чем подойти к банкомату, оглянитесь. Пьяны, заметили что-то странное-подозрительное – отложите съем до лучших времен. Не паранойи ради, безопасности для – оглядывайтесь по сторонам так же, как и при переходе через дорогу.

2. Вы должны четко знать, как выглядит банкомат Вашего банка (если не снимаете деньги с комиссией со всего подряд). В большинстве своем они имеют: НЕвыпирающую из ровной плоскости клавиатуру, плоскую или вдавленную щель приемника карт. Если видите, что клавиатура выпирает хотя бы на пару миллиметров или картоприемник торчит наружу – снимите деньги в другом месте. Если надумаете проявить отвагу и решите позвонить, неважно, куда – в 02 или в службу банка – делайте это не у банкомата!

3. Вставив карточку не спешите вводить пин-код – осмотритесь еще раз =) Ни-че-го нестандартного на банкомате быть не должно. Если кто-то рядом стоит, вводите код так, чтобы его не увидели.

4. Сняв деньги, не размахивайте ими на право и налево. Вытащили карту > убрали > вытащили деньги > быстро пересчитали и сразу надежно убрали > взяли чек > испарились.

5. Однажды вам могут позвонить якобы из банка и сказать: «Здравствуйте, укважаемый Лошидзе Баобаб Бабосович, вас беспокоит служба безопасности Вашего банка. В целях безопасности наших клиентов, мы переводим их с 4-значного пин-кода на 6-значный. Просьба сообщить Вас нынешний пин-код и новый желаемый или же то же самое проделать, придя к нам в банк». Естественно, переться и возиться с бумажками многим будет лень, поэтому, смею предположить, что добрая половина тупо скажет свой код. Поэтому…. НИКОГДА и НИКОМУ не говорите свой пин-код! Ни тётям в магазине на кассе, ни, тем более, дядям. Даже работники банка – от тёток на ресепшене до совета директоров – ни под каким предлогом. У них и без этого полно вариантов на тему как оставить вас без штанов :)

6. Если Вас уже бьют – громко кричите — их больше ;=)))

На десерт – пара фоток, как может выглядеть ваш похититель:



Шутко )

1. Клавиатура может выглядеть так:









Обычно кнопки – плоские, но бывает, что и кнопки выпирают… Не-не-не, в них точно ничего нет, это уже точно паранойя… или… :)))



2. Картоприемник:







Девайс на последней картинке вызывает у меня некоторые сомнения – с одной стороны, ее правая часть свободна (часть, где окажется магнитная лента), т.е. по сути, сканера там уместиться не должно и этот девайс, в итоге – так называемый антискиммер. Но здесь он сделан настолько ужасно (в том числе и по исполнению), что от скиммера его не отличить. Или же его можно оторвать и приклеить на его место скиммер… в общем, глупость сделали )

Насчет антискиммеров — обезопасить картоприемник банки могли бы без проблем – использовать абсолютно плоскую щель, специальные неровности, мешающие установке поверх любого объекта – но опять же… хотели бы – сделали ) Вот примеры попыток усложнить жизнь:

(Тоже глупая, на самом деле, затея, т.к. скиммер замаскировать под такое дело легко, зато даже сам по себе антискиммер опять же уже наводит на какие-то мысли)







Иногда можно встретить наклейки или стенды «как должен выглядеть банкомат», и, мол, если он выглядит иначе, не пользуйтесь им. Понятное дело, что поверх этого можно наклеить-повесить что угодно :) ВСЁ, лишь бы не работать! )

Успехов!
Верни мои деньги, банкомат! / Информационная безопасность / Хабрахабр

Комментариев нет: