Скимиращите устройства и как да ги забелязваме
Публикувана е на понеделник 5th март 2012 07:47 в категориите: Технологии и Интернет, Фото блогПокрай Lipsva се случва да преглеждам сайтовете на полицията за безследно изчезнали. За повечето съм направил скриптове, които автоматично теглят новини, но това не е възможно при всички. Такъв в сайтът на РДВР Бургас. Затова преди месец забелязах една доста интересна новина в бюлетина им. Заради зачестилите случаи на крадене на данни на дебитни карти в Бургас, бяха пуснали подробно описание и снимки как да ги забелязваме. Пълния текст ще намерите под статията, както и на сайта им.
Това е сериозен проблем и с все по-честото използване на т.н. „платмасови пари“, този тип виртуални кражби навлизат и у нас. Изградил съм си навик при теглене на пари винаги да проверявам за скимиращи устройства на типичните места и смятам, че следните снимки ще са ви полезни.
Накратко, скимиращото устройство има за цел да копира данните от картата и да открадне пина ви. Данните са просто серия от цифри и с тях може лесно да се направи дубликат. Това става с миниатюрно четящо устройство. Това копие обаче е безполезно без пина, а да се открадне той е по-трудно. Има три начина за целта – камера монтирана близо до лампата или в някоя ниша, висок човек надничащ през рамото ви или допълнителна клавиатура. На снимките долу ще видите различни модели скимиращи устройства. Имената им не са важни, но запомнете местата където се слагат, за да ги проверявате.
Ако имате съмнения, че картата ви е скимирана, веднага се обадете на банката да я блокира. По-добре да си извадите нова, отколкото да загубите пари. Проверявайте редовно сметката си и какво е теглено от нея и не изхвръляйте бележите от банкомата или при плащане в магазин където и да е – унищожавайте ги. Попитайте банката си дали има брошури с повече съвети.
В Германия и други страни са въвели специални устройства, които да не позволяват да се постави скимиращо устройство. Исках да намеря снимки да ви ги покажа, но се натъкнах на нещо още по-страшно – оказва се, че бандите са направили скимиращо устройство, което се слага върху анти-скимиращото и изглежда по точно същия начин. Изобретателен народ. Ще ги видите на снимките долу. Вижда се и как може да се разпознае. Затова дори да видите въпросното зелено светещо устройство, винаги го дръпнете сило с ръка, за да проверите дали се сваля. Това е сигурен белех и при това, и при горните устройства, защото са залепени само с тиксо.
Надявам се, че не съм ви вкарал много параноя. Тя обаче понякога е полезна – особено като става дума за такива ежедневни неща, за които не се замисляме.
Ето текста на РДВР Бургас. От там може да свалите и оригиналните снимки:
SMS-и от различни банки с предупреждение за блокиране на банковата карта от съображения за сигурност заляха бургазлии в последните дни. Причина за това са опитите за манипулации върху банкомати, разположени на оживени места в града / като освен главните улици, хипермаркети и големи търговски вериги/ манипулации се наблюдават и върху банкомати, разположени в по-затънтени места на Бургас.
Голяма част от “ужилените” още не са разбрали за проблема или предпочитат да не уведомяват полицейските служители по места за регистрирания проблем. С цел да не станем жертва на “наглите измамници” е необходимо всеки един от нас да разбере, че за скимирането на картата му / нерегламентирано снемане на данните и ПИН кода/ са нужни не повече от 30 секунди. На банкомати / може и да са от различен вид/ се монтират : техническо устройство или т.нар. скимер – съдържащ елементи за копиране на данните от магнитната лента и микрокамера за узнаване на ПИН – кода на притежателя на картата.
“Скимера” се поставя като допълнителен елемент върху банкомата, като всяка част от това устройство се позиционира на различни места. Елементите му имат скрита микро-камера, собствено захранване и памет, което дава възможност устройството да работи продължително време. Поставянето му изисква единствено точно фиксиране върху конкретното място на банкомата, като често се използва двойно подлепящо тиксо.
Една част от “скимера” се поставя върху входа на карточетящото устройство /”устата”/ на банкомата, а другата съответно на място от което да има възможност да се наблюдава въвеждането на съответния ПИН код от лицето, ползващо банкомата. Монтирания “Скимер” по никакъв начин не нарушава нормалното функциониране на банкомата. Изработен е от елементи, наподобяващи съответна част на банкомата, които са боядисани в цвят идентичен на фабричния. Това дава възможност да не бъдат забелязвани елементите му и при транзакция / било то : теглене на пари, справка за наличност по картата или друга операция/ да останат неразпознаваеми. “Скимера” има възможност да включва едновременно и двата елемента (2 в 1).
След като се сдобият с данните за платежния инструмент и ПИН кода на титулярите, лицата осъществяващи престъпната дейност, изготвят неистински платежни инструменти и теглят всички средства от банковите карти.
“Скимери” се поставят на почти всички видове банкомати, като най-често срещаните са : NCR, IBM \WINCOR\ и DIEBOLD / това са видове банкомати на различни производители/. Установени са конкретни зони където е възможно да се монтира “Скимер” , показани на следната схема:
|
|
34 коментара за “Скимиращите устройства и как да ги забелязваме”
Оставете отговор
Виж какво
5 март 2012 в 09:02:51
Полезен и подробен материал! Ясно показва че спасението на давещите се е тяхна работа. И все пак …
1. В банкоматите има камери, има и отделни камери, следящи входовете на банковите офиси (където са и банкоматите). Така както банката носи отговорност за издънки, случили се на касата в офиса, така би трябвало да носи отговорност и за другата каса (банкоматът). Как може банкерите да не видят че на банкомата им мошеници монтират скимер? Да не излезе че камерите са за наблюдение на клиентите, а не на мошениците?
2. В закона има някакъв лимит за максималната вреда, която може да се понесе от клиента в подобни случаи, но лимитът е висок. Защо банките чакат законът да им каже какво да правят и доколко да гомправят, а не се заемат сами да решат нещата, вкл. и чрез застраховка. Така се прави навсякъде по света, всяка „картова“ организация предлага одобрена от нея схема (преди години беше така, сега не знам дали тази практика продължава). Дори и да не предлагаха, има „неодобрени“ схеми от различни застрахователи. А може би банките виждат липсата на „финансова култура“ единствено у клиентите си, но не и у себе си?
3. Добър подход е SMS-известяването. Обаче … банките не го предлагат за клиентите на виртуалните оператори. Некадърност, липса на „мобилна култура“ или …?
5 март 2012 в 12:01:42
@Ivan – На банкоматите, които са в магазини или клонове на банки – да. Около много обаче няма – примерно на улицата, по спирки и гари. На самите банкомати има камери, но доколкото съм чувал не е трудно да се скриеш от тях – особено като разбираш от видовете устройства. Точно те са най-опасни.
Фразата „навсякъде по света“ е абсолютно винаги грешна. Без изключение. Няма такова нещо. Самите банки се застраховат сами срещу такива кражби. Когато става дума за трансфер на пари и бързо се забележи, че е нерегламентирано, може сравнително лесно да се спре превода. При теглене от карта обаче е доста по-трудно. Трябва да се докаже, че не си бил в съответния град или държава когато са теглени парите. При това под определена сума не възстановяват пари.
SMS известяването е достъпно само при някои банки и наистина е полезно. Забелязал съм, че в България го има доста, защото sms-тие са сравнително евтини.
5 март 2012 в 12:15:06
1. Не става дума да се разпознае мошеника, а просто да се види че той поставя скимер, който бързо трябва да бъде отстранен.
2. Да, банките се застраховат сами, но на практика го правят всички. Да, не става навсякъде по света. Едва ли става в Мали, но в САЩ го прави всяка банка. Там сумата е 50$, у нас (ако не се лъжа) сумата е 300 лв. Малка разлика, нали? Голямата разлика е че в САЩ може и да е по желание на банката, но тук е по закон (иначе банките никога нямаше да го направят). Не мисля че у нас (или другаде) трябва всичко да е като в САЩ, но определено те са по-добър role model от Мали.
5 март 2012 в 12:19:41
@Ivan – Тези камери се преглеждат единствено и само, ако има проблем. При толкова много часове видео е невъзможно да се следят всички.
В щатите правилата на банковата им система и обслужването на клиенти е доста различно от това в Европа. Много по-малко регулация има, но за сметка на това се състезават повече да привлекат (и измамят) повече клиенти. В Германия не знам колко е застраховката, но съм чувал хора да горят със солидни суми, ако не успят да докажат, че не са били в съответната държава при тегленето.
Затова ти казвам, че „навсякъде по света“ е безсмислено като фраза, но за жалост се използва масово в България когато искаме да заклеймим „нашите“, че са некадърни и не правят нищо като „хората“.
5 март 2012 в 12:51:14
Това че камерите се преглеждат само при проблем е много важно уточнение, което ме връща на въпроса кого иска да следи банката. Тя няма финансов интерес да открие крадеца, защото: а) това е трудно (той се крие) и б) това е скъпо (банката ще направи допълнителни разходи за откриването, докато разходите за застраховка вече са направени). Обратното, банката има финансов интерес да следи клиента (който не се крие, а и не може да го направи), и ако банкоматът му наброи повече пари – да си ги поиска обратно. Ergo, банката следи клиента, не крадеца
5 март 2012 в 13:25:51
@Ivan – Тия конспиративни теории въобще не са верни. Камерата на банкомата е средство да се засече кой тегли пари от въпросната сметка и така да се докаже дали картата е крадена или не. Физически е невъзможно да се преглеждат всички записи – трябва цяла армия от персонал да го прави. На последно място – банката има най-голям интерес да следи кой прави проблем на банкоматите или краде карти, защото в крайна сметка точно тя губи от върнатите пари на клиентите. Няма конспирация, в която банките да помагат или да не се интересуват от скимиращите устройства.
5 март 2012 в 14:44:43
Аз в България почти никога не тегля пари от банкомат, затова може би съм изостанал. Интерено ми е, картите с чип, които реално имат микропроцесор и се оторизират с алгоритъм, подобен на цифров сертификат – и те ли са обект на кражба? Или там бандитите се опитват да хванат картата, все едно че автомата я е прибрал.
Има един познат, на когото му бяха откраднали картата. Полицията разпозна крадците по записите от камерата на автомата, но не си мръдна пръста да ги търси. Аз също съм имал подобен опит – бях пратил записите от камерите на едно момче, което влиза в къщата ми. Единственото което направи полицията беше да ми каже къде живее момчето и да ме посъветва, ако нещо ми липсва – там да си го търся.
5 март 2012 в 14:58:03
@MilenG – чиповете бяха въведени, за да спрат точно този тип скимиране. Работата е там, че повечето карти все още имат и двете – чипове и лента, защото не във всички държави е въведена новата технология. Затова и доста от бандите се изместват на изток.
5 март 2012 в 20:45:41
@MilenG
Доколкото ми е известно протокола е следния:
1) Пробва се да се прочете чипа
2) При неуспешен опит се fall-back-ва към лентата
Което води до много лесно заобикаляне – при монтиране на скимиращо у-во мушкаш предварително подготвена карта с двустранно тиксо в/у чипа. То се лепи в/у четеца. При всяка следваща карта се пробва, не може да прочете чипа (няма контакт) и се продължава с лентата. Voila.
п.п. забелязал съм, че „навсякъде по света“, „из Европа“, „в Щатите“ и т.н. обикновено се дават за пример от хора, никога не стъпвали там, а черпещи (ограничена) информация от нета. Извинявам се, ако случая не е такъв.
5 март 2012 в 20:48:41
Значи , картите с чип са малко бошлаф работа. Даже не малко, а много.
ПИН-а е записан в чипа и засега не се е чуло защитата да е разбита, т.е. ПИН-а прочетен от открадната карта.
Но за съвместимост – номера на картата (без ПИН-а) го има записан и на магнитна лента, а ПИН-а се научава по познатия начин – визуално. След което нищо не пречи да се направи копие на картата – върху заготовка само с магнитна лента.
Доста ПОС-терминали , па и банкомати ( да не посочвам на кои банки) не поддържат ( не могат да прочетат) чипа и затова работят с магнитната лента.
Т.е. – картата с чип засега не може да предпази никого. Това ще стане едва когато се премахне магнитната лента ( или собственика на картата я затрие със силен магнит , което е силно препоръчително)
п.с. занимавал съм се професионално с картови разплащания , но в добрия смисъл на думата
, да не ме погнат ония със фуражките.
5 март 2012 в 20:52:15
@НП , писали сме едновременно – изобщо няма смисъл да се лепи тиксо . достатъчно е да се прочете магн. лента (със ским. у-во) и разбере ПИН-а
5 март 2012 в 21:01:45
@скимер
мдаммм
5 март 2012 в 21:09:11
@скимер, @NP – В Германия вече има магазини, които поддържат само чип карти. Моята кредитна карта е от Германия и може да се теглят пари само от банкомати, които четат чипа. Лентата се използва само за пос-терминали. Малко беше проблематично преди да тегля пари в България, но сега ок.
5 март 2012 в 21:13:29
Между другото , чувал съм за много по страшни методи (обикновеното скимиране е за аматьори) , но не в БГ , а по на изток . Например – копие на банкомат (които естествено не дава пари , а изписва out of service при опит за теглене) , но пък събира номера на карти и ПИН-ове . Чувал съм и за „пипнати“ истински банкомати, които правят същото. Така, че ходите ли до по екзотични дестинации – отбягвайте банкоматите .
5 март 2012 в 21:16:52
@скимер – по екзотичните места – банкомати само в летища, банки и добрите хотели. Иначе – не. То така или иначе винаги трябва да има човек достатъчно валута, за да се прибере, че не се знае какво може да стане.
Виж какво
5 март 2012 в 22:28:19
Някои банки предлагат СМС известяване безплатно за транзакции над определена сума, напр. 100 лв, Добре е да се провери и активира, в случай, че е налично.
В блога на Събеви имаше статия по темата за банковите карти – измама с ПИн, също много интересна, особено последния коментар ето тук: http://www.peter.and.bilyana.net/index.php/2011/08/18/izbor-na-pin-kod/
6 март 2012 в 00:02:03
СМС известяването е като след дъжд – качулка
, по върши работа нисък дневен лимит , ама е неудобна работа.
Отдавна не се занимавам с карти , но мисля , че и MITM атака (особено на някои модели ПОС терминали ) би била успешна. Софтуера на някои модели се зарежда дистанционно по незащитени канали
Имаме късмет, че със скимиране се занимават не особено умни субекти, че иначе….. лошо.
6 март 2012 в 01:01:35
Айде сега да не го обръщаме на инструкции за скимиране. Ще стане малко като БТВ дето обясняваха как да си направим Молотов и да палнем колите в София.
Има много начини да се крадат пари от тия карти, но истината е, че е въпрос на късмет и внимание – също както това дали ще те преждобят. Истински добрите банди работят в по-дълбоките води – darknet-а и финансовите машинации.
Виж какво
6 март 2012 в 10:19:21
„Истински добрите банди работят в по-дълбоките води – darknet-а и финансовите машинации.“
А най-добрите бандити, диктуват на колегите си от Кайзерщтрасе на кои техни приятели да заверят сметките с пари на 1% годишна лихва…
Виж какво
6 март 2012 в 22:20:48
Полезна статия…И коментарите също
Виж какво
7 март 2012 в 02:36:59
Не виждам как тези снимки помагат. Аз не бих забелязал нито едно от скимиращите устройства, въпреки че съм подготвен да очаквам такова.
7 март 2012 в 11:44:43
@dzver – Снимките са за това къде да проверяваш за такива скимиращи устройства. Ако не успееш да ги забележиш – мал шанс.
14 март 2012 в 09:09:19
Скимират се старите карти с магнитна лента. Сменете ги с новите карти, които имат чип.
14 март 2012 в 09:43:36
Имам две крати с чип, и с двете съм пробвал да платя през ПОС терминал който чете само магнитната лента. НЕ СТАВА, единственият начин е през четеца за смарт картата. Това със съвместимостта е било в началото, когато са навлизали chip and pin картите.
14 март 2012 в 12:37:00
@banka_antinari – Повечето банкомати в Европа поддържат и двете като предпочитат чиповете. Някои пос-терминали поддържат само едното или другото. Даже в повечето магазини в Германия поддържат само чипове за повече сигурност.
23 март 2012 в 01:30:47
Здравейте, през 2000 та стъпих за пръв път извън Бг, на щатска територия и да ви кажа, много бях изненадан, че например те ползваха (позват и до днес всъщност) добрата стара магнитна лента. Това след бях видял бума и еволюцията на Булфон а после и Бетком картите. Не мога да кажа дали бяха с чип или просто някаква друга схематика, но Бетком изхвърлиха магнитната лента още 90 и некоя си, примерно 95 и мнаха на тази схематика. Братята на запад просто имат добро застраховане, при което за дребни суми никой не си мръдва пръста, а това е така, съответно защото за 200 долара което е средно лимита за еднократно теглене, разследването би струвало много повече. Същото беше и при един пожара на един комшия,за който щях да свидетелствам, но просто не започнаха официално разследване, защото щетите бяха под 2000 долара. Опитвах се дажа „Ама аз видях…“ че му имах и зъб на тоя дето видях и с удоволствие щях да го кажа, но … „ако започнем някакво разследване ще ви се обадим ..“
В тази връзка някой знае ли ако получа СМС че някой ми е изтеглил пари и аз в рамките на 10 мин се свържа с банката и рапортна, дали ще ми опростят. В щатите за повечето кредитни карти има 24 часа в рамките на които ти се опрощават всякакви щети.
23 март 2012 в 01:43:48
И се сетих да питам MilenG който казва, че полицаите не са мръднали пръста да разследват този дето е бил на запис – ти пробва ли да пуснеш официално жалба или просто ги срещна и ги пита.
Въпросът ми е във връзка с общата идея за това, че трябва да си помагаме в такива случаи. Държавният служител по определение е дебил който иска само да седи на един стол и никой да не го закача за нищо. От нашата осведоменост за нашите права зависи дали и как ще го накараме да ни свърши работа.