Блог им. abakumovmaxim

Интеллектуальные атаки на ваши деньги или что нужно знать про скимминговые устройства

Скимминговое устройство (далее по тексту СУ) предназначено для негласного получения информации с магнитной полосы дебетовой (кредитной) карты и ПИН-кода держателя. Сами устройства могут либо накапливать информацию либо передавать ее по беспроводным каналам (например, по wi-fi).

СУ устанавливаются внутри банкомата, на ридер банкомата, на саму антискимминговую накладку (далее — АСУ) или при входе банка (например, raiffeisen bank доступ к своим банкоматам ограничивают по кредитной карте через ридер на входной двери).

Копирование ПИН-кода осуществляется путем оставления накладной клавиатуры, камеры с любого удобного ракурса, в том числе камера инфракрасного диапазона.

В последнее время появились АСУ, которые в случае установки СУ оставляют банкомат работоспособным, а карты в безопасности.

Например, в случае излучения электромагнитных волн подавляющими излучениями антенны, в которой ток, соответственно, преобразуется в энергию распространяющихся в пространстве электромагнитных волн, а не наоборот:



Интересное техническое решение есть у Голландских железных дорог. Поскольку все СУ используют функцию движения кредитной карты вдоль магнитной полосы при ее помещении в ридер, то в этот момент происходит перехват и копирование, в том числе с комбинированных микропроцессорных карт.

Для этого они ридер развернули на 90 градусов. При этом карта должна вставляться полосой вперед и вниз (и уходит далеко внутрь банкомата), а далее карта автоматически идет движением слева направо:


Механизм румынской компании SRS работает по следующей схеме: сначала пользователь вставляет карту в банкомат длинной стороной так, что магнитная полоса располагается параллельно стенке банкомата, после чего механизм поворачивает карту на 90 градусов, чтобы считать информацию с магнитной полосы. Затем карта поворачивается обратно и возвращается пользователю:


Кроме того, теперь более новые банкоматы применяют технологию ActivEdge, где картридер передает в процессор считываемую с карты информацию в зашифрованном виде, исключая тем самым саму возможность перехвата и компрометации данных на этом участке работы с картой. При этом конструкция банкомата индивидуальна и исключает подмену картридера другим картридером.



Другой способ компроментировать (скопировать) карту — установить фальшивый банкомат. Потому что в некоторых странах (например, в США) любой гражданин имеет право купить банкомат, заключить договор на его обслуживание и получать прибыль.

Применяют еще высокотехнологичные атаки:
-убеждают машину с помощью кода, что она наполнена 1 долларовыми купюрами, но на деле 20 долларовыми; 
-при подмене хоста подключается ноутбук и отключается стационарный компьютер;
-в Башкортостане в 2009 году убедили банкомат, что курс доллара 1500 руб., обменяв 800 долларов на 1,2 млн. руб.;
-в Москве был случай при помощи программы обслуживания банкоматов были извлечены банкноты без вскрытия сейфовой части банкомата;
-отключение антивирусов через CD-привод и установка вредоносного программного обеспечения. Как противодействие в данном случае используются решения по обеспечению контроля целостности программ;
-в 2011 году в Екатеринбурге в Сбербанк были внесены «Билеты банка приколов» в сумме более миллиона рублей:
Интеллектуальные атаки на ваши деньги или что нужно знать про скимминговые устройства


При этом изготовление купюр, на которых написано, что они не являются платежным средством, не влечет уголовной ответственности по статье изготовление, хранение и сбыт поддельных купюр. Но можно квалифицировать как приготовление к тяжкому и особо тяжкому преступлению (в данном случае тяжесть смотреть в УК РФ надо по сумме денег). На практике это означает, что при внесении неплатежеспособных машиночитаемых купюр на сумму менее 250 тыс.руб. уголовная ответственность не наступает до момента получения внесенной денежной суммы. Снятие же денег может осуществляться за пределами России.

Для целей определения подлинности банкнот сканер банкомата проверяет их на машиночитаемые признаки: в видимом спектре, инфракрасном, ультрафиолетовом, магнитном. При современном уровне техники те элементы защиты, которые считывают сканеры банкомата, можно считать аналогичными сканирующими устройствами и передать на соответствующие принтеры. Изготовленная банкнота будет определяться банкоматом как подлинная. Другой способ атаки на кэш ввод – это использование склеенных купюр. Мошенники разрезают девять пятитысячных купюр и склеивают из фрагментов тонким матовым скотчем десять банкнот.

Подойдет такой строительный скотч (я даже помню однажды сам склеивал 5 тысячную купюру, которая немного порвалась, и банкомат ее благополучно съел).
Интеллектуальные атаки на ваши деньги или что нужно знать про скимминговые устройства


Далее… сознательные граждане пишут, что размер поврежденных купюр составляет 157×65 мм, а обычный размер – 157×69 мм, но при этом они принимаются банкоматами и платежными терминалами для зачисления на счет и в качестве платежей как банкноты Банка России стандартного размера. От четырех купюр отрезают по четверти, разрезанные купюры сдают в банк (осталось 75 % площади), из четырех четвертинок склеивают одну купюру и пополняют ей счет карты в банкомате с функцией приема наличных. Из нескольких купюр разного достоинства якобы склеивают купюры, которые воспринимаются кэш вводом как купюры самого большого номинала.

Еще как вариант могут скопировать сотрудники торгового центра, а особенно АЗС, поскольку они берут в руки вашу карту. Поэтому следите за руками и запоминайте переворачивали ли карту стороной трехзначного кода вверх, чтобы посмотреть или клали ли на копиру, т.к. видеокамеры могут не иметь соответствующего качества съемки и разрешения. Если имеются какие-либо подозрения в копировании ваших данных, то фотографируйте на фото и видео прямо в наглую сотрудника торговой точки (чтобы сотрудник понял, что начинать искать будут с него в случае чего), а также стучите в свой банк и в соответствующие органы. Потому что с момента уведомления вами вашего банка риски пропажи денег возлагаются на банк.

Законодательство дает поблажки тем ворам, которые применяют высокотехнологичный способ атаки, и в этом случае при задержании вору (рекомендую как адвокат) необходимо инициировать заключение с ФСБ соглашения о сотрудничестве и тогда за кражу вору скорее всего дадут условный срок, но, как я понимаю, это если по статье кража попадос был первый раз в жизни (или попадос был давно, но судимость снята, т.е. можно сказать, что ее не было для целей назначения срока наказания).

Это были интеллектуальные атаки, но есть более простые способы. Если кратко, то используется способ подсматривания ПИН-кода при его наборе с последующей кражей карты и телефона. Для этого способа потребуется зоркий глаз, ловкость рук и умение пользоваться бритвой для разрезания карманов и сумочек, в которых лежит карта.

Еще более простым способом изъятия наличности (это более пассивный способ, для бомжей слоняющихся неподалеку) является заклеить скотчем гнездо выдачи наличности, чтобы когда Вы не увидите деньги в банкомате и отвлечетесь, то их можно было бы забрать, отклеив скотч в гнезде выдачи наличности.
★9
12 комментариев
мне ответили что надо продавать рубль.

ясно одно, что криптоны никто не украдёт, но хайп на них закончен на неопределённый срок.
avatar
Ramon Albert Rudolfovich, что касается срока, то они работают на усовершенствованиями крипты. Это по времени 1-2 года. Подожди до марта месяца дуровскую крипту, может, купишь или я не знаю что тут сказать, все-таки это вопросы риска.
Максим Абакумов, стоит ли продавать заработанные доллары?
avatar
Ramon Albert Rudolfovich, так ты же их дороже покупал. Какой смысл их продавать дешевле?
Максим Абакумов,
купил, прокрутил. теперь надо либо обменять на рубль, если он всё-таки в выборам путина укрепится ещё, либо это и есть — разворот и купить ещё долларов а летом сбросить по 69-70

 или наоборот купить ещё? вот его блог
avatar
Ramon Albert Rudolfovich, можно на 50% того и этого, а потом чего взять на всю котлету будет видно.
Максим Абакумов, если ты не уверен — значит надо брать. список -это лишь сигнал что бы нерезы из офз выходить начали.
avatar
Ramon Albert Rudolfovich, Экономические данные США сегодня:
...
  • 16.30мск недельные заявки по безработице.
    Особенно значимы перед публикацией нонфармов.
    Падение заявок будет в пользу роста доллара.
Максим Абакумов, пробили /треугольник вниз. падение на пару рублей будет обеспечено.

цель такая — укрепить руль бля выхода неверов из офз. на дальнейшую судьбу рубля — плевать им. они узнают что офз запретят и поэтоому разгоняют спрос на офз.
так сказать тебе инсайд от них -укрепляют — ибо знают, 






avatar
Ramon Albert Rudolfovich, Мужик 40 лет. Голова у него стала болеть. Болит, болит, болит, болит. Все время болит. И вот пошел к врачу. А врач хороший попался. Сначала были таблетки, но не помогают. И тут хороший врач попался и тот его по исследовал и говорит:

— «у тебя на основании позвоночника снизу давят яйца. И мой тебе совет. Зачем тебе яйца в твоем возрасте? Давай мы тебе их ампутируем».

Мужик согласился. Ампутировали. Действительно, головные боли прошли. Все хорошо.

И тут он в какой-то момент идет в магазин костюмчик прикупить. Приходит в магазин и там такой пожилой евгей говорит ему:

-«Ой, как вам повезло — я 50 лет в этом бизнесе. Я вам так подбегу костюмчик. Вам пгосто повезло».

Принес костюмчик. Одели. Он как влитой сидит.
-«А вот еще губашечку, галстучек и носочки».

И вообщем он его так упаковал и говорит:

-«Знаете что? Если вы уж столько всего бегете, то возьмите новые тгусы. Вам нужен 36 газмег».

Мужик говорит:
-«А вот тут-то вы и ошиблись! Размер у меня 34!»

И вот тут еврей говорит:
-«Молодой человек, послушайте меня! Я 50 лет в этом бизнесе, я его знаю от начала и до конца. Ну, возьмете вы 34 и у вас яйца будут давить на основание позвоночника. И у вас будет головная боль. Зачем вам эта головная боль? Возьмите сгазу 36 и все!».
на счет разрезанных купюр удивило..
и как то вспомнилась вечная шоколадка
www.youtube.com/watch?v=02dlVyvB9WA
avatar
ves2010, супер!
avatar

теги блога Максим Абакумов

....все тэги



UPDONW
Новый дизайн