C, PHP, VB, .NET

Дневникът на Филип Петров


* ATM карти

Публикувано на 04 юни 2009 в раздел ОСУП.

ATM картите са по-добре познати в България като „карти за банкомат“. Те могат да бъдат дебитни или кредитни в зависимост от условията на договора ви с банката. Всички ATM карти поддържат международен стандарт ISO/IEC 7810 ID1, който дефинира размери от 85.60 × 53.98 милиметра. Този стандарт добавя и допълнителни характеристики като запалимост, токсичност и др.

В тази статия ще пиша главно относно начините за кражба на ATM карти. На първо време трябва да спомена, че има две възможности за изтегляне на пари от банкова карта – online и offline:

– Online тегленето на пари е най-познато – вкарвате дебитната си карта в устройство, което иска въвеждането на ваш секретен код (наречен PIN код). По този начин работят всички банкомати и повечето магазини. Предполагам, че повечето от вас са запознати с този метод на работа с ATM карти.

– Offline трансакциите дават възможност за изтегляне на пари от банкова карта без въвеждането на PIN код. Това може да стане както в магазин, така и по Интернет. Такива са картите VISA, Mastercard, American Express и др. За сигурността на трансакцията в самия магазин се разчита на записи от видео камери и директния контакт с продавача. За сигурността в Интернет нещата са по-сложни.

От гледна точка на сигурността offline трансакциите са изключително опасни. За осъществяване на трансакция чрез интернет дори не е нужно налично копие на самата карта – трябва единствено номера на картата и секретния трицифрен CVV код. Те за съжаление са отпечатани на самата пластика на картата. Използвайте такива карти само и единствено за пазаруване в Интернет и не ги носете за пазар в магазини, където евентуален мошеник може да добие физически достъп до вашата карта. Все пак в днешно време повечето банки изпращат автоматично СМС при регистрация на нова по-голяма трансакция – така потребителите имат възможност да реагират по-бързо и да блокират злонамерената кражба на пари от тяхната сметка.

Колкото до online трансакциите – там измамниците са затруднени. Освен физическо копие на вашата карта, на тях им е нужен и вашия PIN код. Как може да се случи това? Ще дам няколко примера от т.нар. „ATM skimming“ от банкомат. Снимките са взети от сайта на полицейското управление в Остин –  Тексас:

Допълнително устройство

Допълнително устройство

На горната снимка виждате как изглежда оригиналния процеп на банкомата. Устройството, което записва информацията от ATM картата е изключително тънко и трудно забележимо.

Устройсвото в действие

Устройсвото в действие

Виждате, че поставено на място то не подбужда сериозно съмнение. Нормален човек едва ли би забелязал, че има прикачено допълнително устройство.

Камера

Камера

Краденето на вашия PIN код е трудно, понеже е технически трудно да се дублира клавиатурата на банкомата (но не невъзможно). Затова по-честата практика е да се поставят безжични камери, насочени към клавиатурата.

ATM skimming в действие

ATM skimming в действие

Вие бихте ли се усъмнили в банкомата на горната снимка? В нормалния живот – по-скоро не. Истината е, че такива устройства се продават дори по интернет. Показаното по-горе е с „едри“ размери (размер normal, като има small и дори slim с големина не много по-голяма от процепа за самата карта). Ето един друг пример от центъра за сигурност на Commonwealth bank:

Устройството е изключително незабележимо

Устройството е изключително незабележимо

Едва ли човек може да забележи това

Едва ли човек може да забележи това

Включително може да се изреже дупка в самия банкомат!

Включително може да се изреже дупка в самия банкомат!

Друг пример за ATM skimmer

Друг пример за ATM skimmer

Колкото до заснемането и краденето на вашия PIN код – и тук има множество варианти:

Има ли нещо съмнително тук?

Има ли нещо съмнително тук?

Това устройство е сложено допълнително

Това устройство е сложено допълнително

Ето какво има вътре в него

Ето какво има вътре в него

Ето и как изглежда устройство за прихващане на PIN код от клавиатурата:

Дублиращата клавиатура също е незабележима

Дублиращата клавиатура също е незабележима

Кражбата на карти чрез банкомати обаче е по-малкото перо на проблема. Почти всички банкомати вече са оборудвани с видео наблюдение и се проверяват редовно от служители на банката. Банкоматите обикновено се използват в последствие – когато крадецът има копие на вашата карта и знае вашия PIN код. Спорен остава въпроса обаче, когато самите служители на банката са замесени в престъпна схема. Ето още няколко снимки на типичен ATM skimmer:

Типичен банкомат приличащ на българските

Типичен банкомат приличащ на българските

Ето как се заснема вашия PIN код

Ето как се заснема вашия PIN код

Устройството изглежда съвсем достоверно

Устройството за запис на данните от картата изглежда съвсем достоверно

Още един пример

Не е изключено дори поставянето на цял фалшив банкомат. При поставяне на картата във фалшив банкомат и опит за изтегляне на пари (тоест въвеждане на PIN код), устройството връща картата и се извинява със съобщение, че „не може да извърши тази услуга в момента“. Истината е, че има дори регистрирани случай, в които фалшиви банкомати дават пари на хората, когато става въпрос за по-малки суми. Тези банкомати дефакто въобще не са свързани с общата банкова система и не правят никакво валидиране на вашия PIN код. Единствения начин да разберете, че сте били измамен е ако забележите, че никой не ви е взел пари от банковата сметка.

Най-масовият случай на кражба на ATM карти е в търговската мрежа. Има два начина – единият е чрез поставяне на четец върху истинско устройство (много подобно на представеното за банкомат по-горе, но по-миниатурно). Понякога измамниците дори правят цяла нова „опаковка“ на електрониката на истинското устройство така, че да може да се вкара допълнителното четящто устройство.

Другият начин е с конкретно фалшиво устройство – подобно на примера с фалшив банкомат, отново не ви взимат пари за покупката, но вашата информация за картата е открадната. Съмнение у вас може да се подбуди ако при по-голяма покупка жената на касата започне да се извинява, че устройството при нея не работи и ви моли да отидете на друг щанд (където е истинското устройство, което е легитимно). Това е така, защото при по-големи покупки измамниците излизат на загуба.

Друг изключително популярен начин е чрез така наречените „mobile ATM skimmers“. Това са миниатюрни устройсва, които измамникът държи в ръката си. Когато вие му подадете картата той я прекарва през устройството незабелязано, а после я слага в истинския апарат. В последствие ви гледа в ръцете, за да научи вашия PIN код. Ето как изглеждат няколко такива устройства (снимки от вече бившия сайт jheary.com):

Mobile skimmer

Mobile skimmer

Mobile skimmer

skimmer-type4

Mobile skimmer

skimmer-type7

За нещастие защитата от кражби в търговската мрежа е изключително трудна. Вярвате ли в честността на сервитьорката в ресторанта? А продавачката в магазина за обувки? Проблемът ще се задълбочава с все по-масовото използване на „електронни пари“. С днешното ниво на сигурност на ATM картите единственият начин да сте напълно убедени, че няма да откраднат пари от вас, е като редовно сменяте PIN кода си на банкомати, които познавате като сигурни. За съжаление това е изключително рядка практика при нормалния човек и затова се търсят по-иновативни решения. В по-следващи статии ще се запознаем с технически детайли за ATM картите и съвремените методи за защита на информацията в тях. Ефективна защита в бъдеще ще са ATM картите с чип, но това ще стане тогава, когато магнитната лента бъде напълно забравена.

 



4 коментара


  1. Скоро ще пусна няколко допълнителни статии, с които ще покажа кои са новите методи на защита и какво трябва да изисквате от банката, когато ви издава ATM карта, за да се чувствате по-защитени…

  2. blues_woman каза:

    Ми, то сега и от банкомати пари да не тегля, или пък да взема да ги оглеждам предварително. А като знам какво опашки се заформят някой път, може и да ме набият дето опипвам банкомата :)

    Но, шегата настрана – много поучително четиво.

  3. Само да не доведе до параноя? :)

  4. gergin каза:

    Много полезно.
    Благодаря.

Добави коментар

Адресът на електронната поща няма да се публикува


*