05/03/2015

Żonglowanie kartami: Przestępstwa z wykorzystaniem bankomatów

Porady

Wszyscy doskonale wiedzą, jakim zagrożeniem są kieszonkowcy. Pomimo że wczesna edukacja szkolna nie dostarcza nam wiedzy i bezpośrednich wskazówek, jak ochraniać nasze kieszenie, to gdy wchodzimy w prawdziwy świat, życie samo dostarcza nam okazji do nauczenia się tych prostych zasad. To samo można powiedzieć o przestępstwach w Sieci. Obecnie szeroko nagłaśniane akcje i włamania cyberprzestępców w internecie znają nawet małe dzieci.

ATM-kopia

Mimo wszystko, pojęcie „carder” nie jest powszechnie znane, co nie jest za dobrą wiadomością, ponieważ okazuje się, że brak wiedzy na temat specyfiki tych ludzi podnosi ryzyko stania się ich ofiarą. Ten typ złodziei specjalizuje się w kradzieży loginów i haseł do kart płatniczych za pomocą instalowanego ukradkiem na bankomacie, miniaturowego sprzętu (tzw. skimmera). Niestety nawet pomimo zacieśniania współpracy policji, administracji banków oraz systemów płatniczych, suma pieniędzy wykradanych z kont bankowych w dalszym ciągu rośnie.

Carderzy w swoich działaniach przypominają kieszonkowców (stosując podobną technikę oceny potencjalnej ofiary), oraz w trochę mniejszym stopniu (ale jednak!) przypominają hakerów – to, czym się zajmują nie jest możliwe bez stosowania sztuczek opartych na nowoczesnych technologiach i komputerach.

Aby stać się ich celem, po prostu musisz użyć swojej karty do wypłaty gotówki. Jeśli Twój egzemplarz nie jest wyposażony w czip, to Twoja sytuacja staje się dużo gorsza, bowiem z karty magnetycznej można dużo łatwiej ukraść pieniądze. Możesz również zwiększyć swoje szanse na stanie się ofiarą carderów pomijając funkcję powiadomień SMS ze swojego banku. Teraz już tylko włóż kartę do bankomatu, który napotkasz na swojej drodze i dumnie wstukaj kod PIN. Czyhający za rogiem przestępcy będą Ci dozgonnie wdzięczni.

atm_1

A już całkiem poważnie – ten nielegalny biznes rozwinął się na przestrzeni ostatnich lat w bardzo szybkim tempie. Pomimo upływu czasu, schemat działania pozostał niezmienny: zastosowanie techniki do odczytu danych z paska magnetycznego na karcie, podejrzenie kodu PIN, sklonowanie karty i wypłacenie maksymalnej kwoty pieniędzy z powiązanego z nią rachunku bankowego. Niemniej jednak, techniki kradzieży danych znacznie ewoluowały.

Proste: to jest biznes!

Były czasy, kiedy carderzy używali „skimmerów domowej roboty”, które niezdarnie instalowali na podajnikach bankomatów i ryzykowali złapaniem na gorącym uczynku, gdy próbowali na miejscu odebrać skradzione dane prosto z urządzenia. Czasy się zmieniły. Przemysł mocno się rozwinął i skimmery DIY odeszły w zapomnienie. Współcześnie skimming stał się dobrze zorganizowanym i wysoce zautomatyzowanym procesem.

Pierwszym ogniwem w całym procesie są producenci i sprzedawcy gotowych rozwiązań sprzętowych, wykonanych z ogólnodostępnych komponentów. Takie oferty sprzedaży można znaleźć online, a towar jest wysyłany przez firmy kurierskie – jest to najbezpieczniejsza opcja dla przestępców.

Jeżeli chcesz zobaczyć, jaką popularnością cieszą się urządzenia do skimmingu, wpisz proste zapytanie do dowolnej wyszukiwarki. Gotowy zestaw zawierający ukryty czytnik do wykradania danych z plastikowych kart, nakładkę na panel do sczytywania kodu PIN oraz urządzenie do klonowania kart wraz z odpowiednim oprogramowaniem można kupić za 1500-2000 dolarów. Jeszcze kilka lat temu, oferty tego typu sięgały 10 000 dolarów, jak szacuje dziennikarz i badacz bezpieczeństwa Brian Krebs.

Osoby kupujące gotowe pakiety do skimmingu wcale nie muszą być biegłymi hakerami. Przeważnie do zestawu załączona jest instrukcja, która często zawiera sekcję „dobrych praktyk”. Instrukcje są na tyle szczegółowe, że znajdują się w nich nawet porady dotyczące prawidłowego użytkowania nowej baterii, tak aby użytkownik mógł się jak najdłużej cieszyć jej żywotnością.

Technologiczni filozofowie

Postęp technologii – w połączeniu z masowym popytem – podsycił rozwój elektronicznych komponentów używanych do nielegalnej działalności. Specjaliści od bezpieczeństwa zalecają regularne badania każdego bankomatu i jego specyfiki, jednakże te zalecenia szybko się dezaktualizują.

Po pierwsze, doświadczeni producenci „z podziemia” sprzedają sprzęt ledwo odróżnialny od oryginalnych elementów bankomatów. Nawet uważny użytkownik nie będzie w stanie ich odróżnić „na oko”: podajnik kart jest wykonany z tego samego rodzaju plastiku i ma ten sam kolor, co oryginalny komponent. I jedyne, co go odróżnia, to nieznacznie zmieniony kształt.

skimmer_2

Takie podobieństwo jest możliwe do osiągnięcia dzięki świadomemu ujednoliceniu wyglądu najpowszechniej używanych bankomatów na całym świecie – każdy lokalny rynek ma swoje duże sieci banków obsługujące wielu klientów. Oczywiście, banki korzystają z technik antyskimmingowych w ramach środków prewencyjnych.

Po drugie, istnieją specjalne czytniki danych, które są instalowane przez carderów wewnątrz bankomatów (przez podajnik karty). To nowe rozwiązanie zostało opisane niedawno w raporcie wydanym przez organizacją non-profit European ATM Support Team. Co gorsza, niektóre z tych urządzeń nawet nie muszą działać samodzielnie – wykorzystują zasoby komputera bankomatu!

Fizyczne odbieranie skradzionych danych również jest staromodną metodą. Nowe typy skimmerów są wyposażone w moduł GSM, który pozwala wysyłać zaszyfrowane (zgadza się, zaszyfrowane! – nawet carderzy muszą walczyć z konkurencją) dane sczytane z paska magnetycznego za pośrednictwem zwykłych sieci komórkowych.

PILNUJ SWOJEGO KODU PIN

Obecnie, pozyskanie kodu PIN stało się najsłabszym ogniwem. Aby podejrzeć kod PIN, przestępcy używają miniaturowych kamer lub nawet zwykłych urządzeń jak iPod Touch, które charakteryzują się smukłością i wydajnym akumulatorem.

Kamera jest instalowana nad klawiaturą lub w innym miejscu pomieszczenia, w którym znajduje się bankomat. Carderzy szczególnie upodobali sobie stoisko z broszurami, gdzie banki przeważnie prezentują swoje materiały promocyjne. Oczywiście – jak każdy element wyposażenia wnętrza banku – są one postrzegane jako coś zupełnie bezpiecznego.

Jednak, jeśli człowiek, który wypłaca gotówkę zakryję ręką klawiaturę na której wprowadza PIN, kamery te na wiele się nie zdadzą. Ponadto, sam film nie jest zbyt wygodnym medium do przetwarzania i wysyłania informacji, co dodatkowo często wymaga sporo pracy manualnej.

Smukłe panele na klawiatury bankomatów stają się coraz tańsze, a obecnie na czarnym rynku są wyceniane na około 1 000 euro, co jeszcze bardziej komplikuje sytuację konsumenta. Gdy takie urządzenie zostanie użyte przez przestępcę, zakrywanie klawiatury podczas wpisywania PIN-u nic nie da. Następnie, SMS z Twoim 4-cyfrowym hasłem zostanie wysłany do specjalnej bazy cardera, co już jest zdecydowanie łatwiejsze niż przetwarzanie nagrania wideo, a sam proces jest mocno zautomatyzowany.

Oczywiście, taki panel widocznie wystaje ponad oryginalną klawiaturę, niemniej jednak prawie żaden użytkownik nie będzie dokładnie badał każdej napotkanej klawiatury w bankomacie pod kątem oryginalności. Ponadto, sama konstrukcja nie wzbudza podejrzeń – panel jest wykonany z tego samego rodzaju stali co oryginalne klawiatury bankomatowe.

skimmer-1

Istnieje jeszcze jedna metoda stosowana w skimmingu: przestępcy strzegą oprogramowania, które dekoduje i powiela informacje. W ten sposób carderzy zabezpieczają się przed konkurencją wśród innych cyberprzestępców oraz przed stróżami prawa.

Jeżeli zostanie wprowadzone niewłaściwe hasło, system nie poinformuje użytkownika, że pojawił się błąd – on po prostu sam się wyłączy. Podając niewłaściwe hasło policji, skimmer może dowieść, że system jest tylko drobnym, nieszkodliwym oprogramowaniem, które niedawno pobrał. I… jaka wielka szkoda, że nie chce się uruchomić…

Aby udowodnić, że program służył do nielegalnej działalności, stróże prawa muszą zatrudnić wykwalifikowanych specjalistów ds. analizy kodu. Chyba nie muszę pisać, jak żmudne i czasochłonne jest to zajęcie?

Jak widać, technologia jest tylko częścią tej historii. Wiele operacji skimmingowych nadał pozostało w sferze manualnej i są one obarczone wysokim ryzykiem. Będziemy się jeszcze odnosili do tej części historii w naszym następnym artykule, w którym damy Wam kilka praktycznych wskazówek dotyczących ochrony swoich rachunków bankowych przed cyberkieszonkowcami.