Скимиращите устройства и как да ги забелязваме

Покрай Lipsva се случва да преглеждам сайтовете на полицията за безследно изчезнали. За повечето съм направил скриптове, които автоматично теглят новини, но това не е възможно при всички. Такъв в сайтът на РДВР Бургас. Затова преди месец забелязах една доста интересна новина в бюлетина им. Заради зачестилите случаи на крадене на данни на дебитни карти в Бургас, бяха пуснали подробно описание и снимки как да ги забелязваме. Пълния текст ще намерите под статията, както и на сайта им.

Това е сериозен проблем и с все по-честото използване на т.н. „платмасови пари“, този тип виртуални кражби навлизат и у нас. Изградил съм си навик при теглене на пари винаги да проверявам за скимиращи устройства на типичните места и смятам, че следните снимки ще са ви полезни.

Накратко, скимиращото устройство има за цел да копира данните от картата и да открадне пина ви. Данните са просто серия от цифри и с тях може лесно да се направи дубликат. Това става с миниатюрно четящо устройство. Това копие обаче е безполезно без пина, а да се открадне той е по-трудно. Има три начина за целта – камера монтирана близо до лампата или в някоя ниша, висок човек надничащ през рамото ви или допълнителна клавиатура. На снимките долу ще видите различни модели скимиращи устройства. Имената им не са важни, но запомнете местата където се слагат, за да ги проверявате.

Ако имате съмнения, че картата ви е скимирана, веднага се обадете на банката да я блокира. По-добре да си извадите нова, отколкото да загубите пари. Проверявайте редовно сметката си и какво е теглено от нея и не изхвръляйте бележите от банкомата или при плащане в магазин където и да е – унищожавайте ги. Попитайте банката си дали има брошури с повече съвети.

В Германия и други страни са въвели специални устройства, които да не позволяват да се постави скимиращо устройство. Исках да намеря снимки да ви ги покажа, но се натъкнах на нещо още по-страшно – оказва се, че бандите са направили скимиращо устройство, което се слага върху анти-скимиращото и изглежда по точно същия начин. Изобретателен народ. Ще ги видите на снимките долу. Вижда се и как може да се разпознае. Затова дори да видите въпросното зелено светещо устройство, винаги го дръпнете сило с ръка, за да проверите дали се сваля. Това е сигурен белех и при това, и при горните устройства, защото са залепени само с тиксо.

Надявам се, че не съм ви вкарал много параноя. Тя обаче понякога е полезна – особено като става дума за такива ежедневни неща, за които не се замисляме.

Ето текста на РДВР Бургас. От там може да свалите и оригиналните снимки:

SMS-и от различни банки с предупреждение за блокиране на банковата карта от съображения за сигурност заляха бургазлии в последните дни. Причина за това са опитите за манипулации върху банкомати, разположени на оживени места в града / като освен главните улици, хипермаркети и големи търговски вериги/ манипулации се наблюдават и върху банкомати, разположени в по-затънтени места на Бургас.

Голяма част от “ужилените” още не са разбрали за проблема или предпочитат да не уведомяват полицейските служители по места за регистрирания проблем. С цел да не станем жертва на “наглите измамници” е необходимо всеки един от нас да разбере, че за скимирането на картата му / нерегламентирано снемане на данните и ПИН кода/ са нужни не повече от 30 секунди. На банкомати / може и да са от различен вид/ се монтират : техническо устройство или т.нар. скимер – съдържащ елементи за копиране на данните от магнитната лента и микрокамера за узнаване на ПИН – кода на притежателя на картата.

“Скимера” се поставя като допълнителен елемент върху банкомата, като всяка част от това устройство се позиционира на различни места. Елементите му имат скрита микро-камера, собствено захранване и памет, което дава възможност устройството да работи продължително време. Поставянето му изисква единствено точно фиксиране върху конкретното място на банкомата, като често се използва двойно подлепящо тиксо.

Една част от “скимера” се поставя върху входа на карточетящото устройство /”устата”/ на банкомата, а другата съответно на място от което да има възможност да се наблюдава въвеждането на съответния ПИН код от лицето, ползващо банкомата. Монтирания “Скимер” по никакъв начин не нарушава нормалното функциониране на банкомата. Изработен е от елементи, наподобяващи съответна част на банкомата, които са боядисани в цвят идентичен на фабричния. Това дава възможност да не бъдат забелязвани елементите му и при транзакция / било то : теглене на пари, справка за наличност по картата или друга операция/ да останат неразпознаваеми. “Скимера” има възможност да включва едновременно и двата елемента (2 в 1).

След като се сдобият с данните за платежния инструмент и ПИН кода на титулярите, лицата осъществяващи престъпната дейност, изготвят неистински платежни инструменти и теглят всички средства от банковите карти.
“Скимери” се поставят на почти всички видове банкомати, като най-често срещаните са : NCR, IBM \WINCOR\ и DIEBOLD / това са видове банкомати на различни производители/. Установени са конкретни зони където е възможно да се монтира “Скимер” , показани на следната схема:

49 коментара

  1. Pingback: Dessislava
  2. Полезен и подробен материал! Ясно показва че спасението на давещите се е тяхна работа. И все пак …

    1. В банкоматите има камери, има и отделни камери, следящи входовете на банковите офиси (където са и банкоматите). Така както банката носи отговорност за издънки, случили се на касата в офиса, така би трябвало да носи отговорност и за другата каса (банкоматът). Как може банкерите да не видят че на банкомата им мошеници монтират скимер? Да не излезе че камерите са за наблюдение на клиентите, а не на мошениците?

    2. В закона има някакъв лимит за максималната вреда, която може да се понесе от клиента в подобни случаи, но лимитът е висок. Защо банките чакат законът да им каже какво да правят и доколко да гомправят, а не се заемат сами да решат нещата, вкл. и чрез застраховка. Така се прави навсякъде по света, всяка „картова“ организация предлага одобрена от нея схема (преди години беше така, сега не знам дали тази практика продължава). Дори и да не предлагаха, има „неодобрени“ схеми от различни застрахователи. А може би банките виждат липсата на „финансова култура“ единствено у клиентите си, но не и у себе си?

    3. Добър подход е SMS-известяването. Обаче … банките не го предлагат за клиентите на виртуалните оператори. Некадърност, липса на „мобилна култура“ или …?

  3. @Ivan – На банкоматите, които са в магазини или клонове на банки – да. Около много обаче няма – примерно на улицата, по спирки и гари. На самите банкомати има камери, но доколкото съм чувал не е трудно да се скриеш от тях – особено като разбираш от видовете устройства. Точно те са най-опасни.

    Фразата „навсякъде по света“ е абсолютно винаги грешна. Без изключение. Няма такова нещо. Самите банки се застраховат сами срещу такива кражби. Когато става дума за трансфер на пари и бързо се забележи, че е нерегламентирано, може сравнително лесно да се спре превода. При теглене от карта обаче е доста по-трудно. Трябва да се докаже, че не си бил в съответния град или държава когато са теглени парите. При това под определена сума не възстановяват пари.

    SMS известяването е достъпно само при някои банки и наистина е полезно. Забелязал съм, че в България го има доста, защото sms-тие са сравнително евтини.

  4. 1. Не става дума да се разпознае мошеника, а просто да се види че той поставя скимер, който бързо трябва да бъде отстранен.
    2. Да, банките се застраховат сами, но на практика го правят всички. Да, не става навсякъде по света. Едва ли става в Мали, но в САЩ го прави всяка банка. Там сумата е 50$, у нас (ако не се лъжа) сумата е 300 лв. Малка разлика, нали? Голямата разлика е че в САЩ може и да е по желание на банката, но тук е по закон (иначе банките никога нямаше да го направят). Не мисля че у нас (или другаде) трябва всичко да е като в САЩ, но определено те са по-добър role model от Мали.

  5. @Ivan – Тези камери се преглеждат единствено и само, ако има проблем. При толкова много часове видео е невъзможно да се следят всички.

    В щатите правилата на банковата им система и обслужването на клиенти е доста различно от това в Европа. Много по-малко регулация има, но за сметка на това се състезават повече да привлекат (и измамят) повече клиенти. В Германия не знам колко е застраховката, но съм чувал хора да горят със солидни суми, ако не успят да докажат, че не са били в съответната държава при тегленето.

    Затова ти казвам, че „навсякъде по света“ е безсмислено като фраза, но за жалост се използва масово в България когато искаме да заклеймим „нашите“, че са некадърни и не правят нищо като „хората“.

  6. Това че камерите се преглеждат само при проблем е много важно уточнение, което ме връща на въпроса кого иска да следи банката. Тя няма финансов интерес да открие крадеца, защото: а) това е трудно (той се крие) и б) това е скъпо (банката ще направи допълнителни разходи за откриването, докато разходите за застраховка вече са направени). Обратното, банката има финансов интерес да следи клиента (който не се крие, а и не може да го направи), и ако банкоматът му наброи повече пари – да си ги поиска обратно. Ergo, банката следи клиента, не крадеца 🙂

  7. @Ivan – Тия конспиративни теории въобще не са верни. Камерата на банкомата е средство да се засече кой тегли пари от въпросната сметка и така да се докаже дали картата е крадена или не. Физически е невъзможно да се преглеждат всички записи – трябва цяла армия от персонал да го прави. На последно място – банката има най-голям интерес да следи кой прави проблем на банкоматите или краде карти, защото в крайна сметка точно тя губи от върнатите пари на клиентите. Няма конспирация, в която банките да помагат или да не се интересуват от скимиращите устройства.

  8. Аз в България почти никога не тегля пари от банкомат, затова може би съм изостанал. Интерено ми е, картите с чип, които реално имат микропроцесор и се оторизират с алгоритъм, подобен на цифров сертификат – и те ли са обект на кражба? Или там бандитите се опитват да хванат картата, все едно че автомата я е прибрал.

    Има един познат, на когото му бяха откраднали картата. Полицията разпозна крадците по записите от камерата на автомата, но не си мръдна пръста да ги търси. Аз също съм имал подобен опит – бях пратил записите от камерите на едно момче, което влиза в къщата ми. Единственото което направи полицията беше да ми каже къде живее момчето и да ме посъветва, ако нещо ми липсва – там да си го търся.

  9. @MilenG – чиповете бяха въведени, за да спрат точно този тип скимиране. Работата е там, че повечето карти все още имат и двете – чипове и лента, защото не във всички държави е въведена новата технология. Затова и доста от бандите се изместват на изток.

  10. @MilenG

    Доколкото ми е известно протокола е следния:

    1) Пробва се да се прочете чипа
    2) При неуспешен опит се fall-back-ва към лентата

    Което води до много лесно заобикаляне – при монтиране на скимиращо у-во мушкаш предварително подготвена карта с двустранно тиксо в/у чипа. То се лепи в/у четеца. При всяка следваща карта се пробва, не може да прочете чипа (няма контакт) и се продължава с лентата. Voila.

    п.п. забелязал съм, че „навсякъде по света“, „из Европа“, „в Щатите“ и т.н. обикновено се дават за пример от хора, никога не стъпвали там, а черпещи (ограничена) информация от нета. Извинявам се, ако случая не е такъв.

  11. Значи , картите с чип са малко бошлаф работа. Даже не малко, а много.

    ПИН-а е записан в чипа и засега не се е чуло защитата да е разбита, т.е. ПИН-а прочетен от открадната карта.

    Но за съвместимост – номера на картата (без ПИН-а) го има записан и на магнитна лента, а ПИН-а се научава по познатия начин – визуално. След което нищо не пречи да се направи копие на картата – върху заготовка само с магнитна лента.

    Доста ПОС-терминали , па и банкомати ( да не посочвам на кои банки) не поддържат ( не могат да прочетат) чипа и затова работят с магнитната лента.

    Т.е. – картата с чип засега не може да предпази никого. Това ще стане едва когато се премахне магнитната лента ( или собственика на картата я затрие със силен магнит , което е силно препоръчително)

    п.с. занимавал съм се професионално с картови разплащания , но в добрия смисъл на думата 🙂 , да не ме погнат ония със фуражките.

  12. @НП , писали сме едновременно – изобщо няма смисъл да се лепи тиксо . достатъчно е да се прочете магн. лента (със ским. у-во) и разбере ПИН-а

  13. @скимер, @NP – В Германия вече има магазини, които поддържат само чип карти. Моята кредитна карта е от Германия и може да се теглят пари само от банкомати, които четат чипа. Лентата се използва само за пос-терминали. Малко беше проблематично преди да тегля пари в България, но сега ок.

  14. Между другото , чувал съм за много по страшни методи (обикновеното скимиране е за аматьори) , но не в БГ , а по на изток . Например – копие на банкомат (които естествено не дава пари , а изписва out of service при опит за теглене) , но пък събира номера на карти и ПИН-ове . Чувал съм и за „пипнати“ истински банкомати, които правят същото. Така, че ходите ли до по екзотични дестинации – отбягвайте банкоматите .

  15. @скимер – по екзотичните места – банкомати само в летища, банки и добрите хотели. Иначе – не. То така или иначе винаги трябва да има човек достатъчно валута, за да се прибере, че не се знае какво може да стане.

  16. Pingback: Stefan Kovachev
  17. Някои банки предлагат СМС известяване безплатно за транзакции над определена сума, напр. 100 лв, Добре е да се провери и активира, в случай, че е налично.
    В блога на Събеви имаше статия по темата за банковите карти – измама с ПИн, също много интересна, особено последния коментар ето тук: http://www.peter.and.bilyana.net/index.php/2011/08/18/izbor-na-pin-kod/

  18. СМС известяването е като след дъжд – качулка 🙂 , по върши работа нисък дневен лимит , ама е неудобна работа.

    Отдавна не се занимавам с карти , но мисля , че и MITM атака (особено на някои модели ПОС терминали ) би била успешна. Софтуера на някои модели се зарежда дистанционно по незащитени канали 🙂

    Имаме късмет, че със скимиране се занимават не особено умни субекти, че иначе….. лошо.

  19. Айде сега да не го обръщаме на инструкции за скимиране. Ще стане малко като БТВ дето обясняваха как да си направим Молотов и да палнем колите в София.

    Има много начини да се крадат пари от тия карти, но истината е, че е въпрос на късмет и внимание – също както това дали ще те преждобят. Истински добрите банди работят в по-дълбоките води – darknet-а и финансовите машинации.

  20. Pingback: Becko
  21. „Истински добрите банди работят в по-дълбоките води – darknet-а и финансовите машинации.“

    А най-добрите бандити, диктуват на колегите си от Кайзерщтрасе на кои техни приятели да заверят сметките с пари на 1% годишна лихва…

  22. Pingback: Dimitar Giormov
  23. Pingback: Crime.bg
  24. Не виждам как тези снимки помагат. Аз не бих забелязал нито едно от скимиращите устройства, въпреки че съм подготвен да очаквам такова.

  25. @dzver – Снимките са за това къде да проверяваш за такива скимиращи устройства. Ако не успееш да ги забележиш – мал шанс.

  26. Скимират се старите карти с магнитна лента. Сменете ги с новите карти, които имат чип.

  27. Имам две крати с чип, и с двете съм пробвал да платя през ПОС терминал който чете само магнитната лента. НЕ СТАВА, единственият начин е през четеца за смарт картата. Това със съвместимостта е било в началото, когато са навлизали chip and pin картите.

  28. @banka_antinari – Повечето банкомати в Европа поддържат и двете като предпочитат чиповете. Някои пос-терминали поддържат само едното или другото. Даже в повечето магазини в Германия поддържат само чипове за повече сигурност.

  29. Здравейте, през 2000 та стъпих за пръв път извън Бг, на щатска територия и да ви кажа, много бях изненадан, че например те ползваха (позват и до днес всъщност) добрата стара магнитна лента. Това след бях видял бума и еволюцията на Булфон а после и Бетком картите. Не мога да кажа дали бяха с чип или просто някаква друга схематика, но Бетком изхвърлиха магнитната лента още 90 и некоя си, примерно 95 и мнаха на тази схематика. Братята на запад просто имат добро застраховане, при което за дребни суми никой не си мръдва пръста, а това е така, съответно защото за 200 долара което е средно лимита за еднократно теглене, разследването би струвало много повече. Същото беше и при един пожара на един комшия,за който щях да свидетелствам, но просто не започнаха официално разследване, защото щетите бяха под 2000 долара. Опитвах се дажа „Ама аз видях…“ че му имах и зъб на тоя дето видях и с удоволствие щях да го кажа, но … „ако започнем някакво разследване ще ви се обадим ..“
    В тази връзка някой знае ли ако получа СМС че някой ми е изтеглил пари и аз в рамките на 10 мин се свържа с банката и рапортна, дали ще ми опростят. В щатите за повечето кредитни карти има 24 часа в рамките на които ти се опрощават всякакви щети.

  30. И се сетих да питам MilenG който казва, че полицаите не са мръднали пръста да разследват този дето е бил на запис – ти пробва ли да пуснеш официално жалба или просто ги срещна и ги пита.

    Въпросът ми е във връзка с общата идея за това, че трябва да си помагаме в такива случаи. Държавният служител по определение е дебил който иска само да седи на един стол и никой да не го закача за нищо. От нашата осведоменост за нашите права зависи дали и как ще го накараме да ни свърши работа.

  31. Любопитно ми е моята карта като не е издадена от българска банка и е с чипи магнитна лента едновременно може ли да се дубликира – ако презапишат инфото на магнитната лента могат ли да създадът копие на картата.

    Освен това искам да споделя мое решение на проблема – открийте си две сметки в банката – от едната не издавайте карта и никога не плащайте през нея, а другата е тази с която оперирате – прехвърляте си от едната в работната само толкова колкото искате да имате за деня. Това работи с дебитни карти, но ако става въпрос за кредитна тешението е наистина нисък лимит на дневните тегления.

  32. ами защо вместо ПИН-код не използват пръстов отпечатък? Като в парламента? така няма ли да е доста по-трудно да се краде, и по-лесно да си вземеш парите ако си забравил ПИН-кода?

  33. @фифи – много по-лесно ще е. Пръстови отпечатъци се кратат лесно. На този етап възпроизвеждането им не е толкова елементарно, но ако има полза – ще бъде оптимизиран метода. Някои банки в Индия, ако не се лъжа, вече са го въвели това.

  34. значи парите са ми пари когато са ми в джоба…
    всякакви изисквания за finger print, температура, ДНК-анализ и прочие биха могли да се моделират…

  35. Разбира се. Ключалката у вас да не мислиш, че е сигурна? Ако сложиш по-тежка врата, пак ще може да се отвори. При картите е подобно – всеки метод защитава от 99% от зложелателите. Абсолютна сигурност обаче няма – винаги има 1%, който ще знае как да я пробие. При това слабата точка почти винаги е потребителя. Тоест колкото и добро да е криптирането, защитите, технологията, точно твоите действия са са проблем. Куп хора си дават пиновете свободно или ги пишат на картите. Срещу това никой не може да защити.

  36. относно Ayra – карта с която е плащано в Интернет, в магазин, ресторант и т.н. може да я отпишете, ми казаха в една банка – най-добре правете транзакции през IBAN-номера на банковата си сметка в банката. Все пак Интернета предлага парични преводи чрез посредници като PayPal, Moneybookers, E-Gold, ClickBank, WebMoney, EPay и други, които Ви пазят данните на картата и тя не се вижда директно в нета. Лошото е, че и банковият посредник може да бъде хакнат…

  37. Здравейте,

    Попаднах на сайта Ви и съм доволна на това, че научих тази полезна информация, но все пак се надявам никога да не усещам какво е това устройство и на никой не го пожелавам.

    Та имах един въпрос, който не ми стана много ясен от това, което чета в нета …
    Понеже в България картите са с чип и магнитна лента едновременно, т.е. ако ми скимират данните от магнитната лента и я запишат на пластика без чипа да пипат, то тогава банкомата пак ще пусне пари и те ще успеят, защото банкомата ще види, че не може да ползва чипа и ще ползва данните от магнитната лента само, права ли съм ?

    Поздрави.

  38. @Теодора – Тук не съм сигурен как стоят нещата. За мен е логично банкоматът да засече от банката, че картата би трябвало да има чип и ако на картата не открива, да не позволява теглене. В смисъл лентите да са само за банкоматите, които не поддържат карти. Как е направено обаче не знам.

  39. Днес(30.03.2013) се натъкнах на такова устройство. Става дума за Банкомат върху самата банка (Райфайзен на улица булевард „Професор Цветан Лазаров“ 97 в София). Винаги тегля от този банкомат и съм свикнал със вида му. Този път точно преди да пъхна картата (бях я извадил и се готвих да я „мушна“)забелязах, че обичайната вдлъбнатина на пластмасата където се пъха картата я няма, а се вижда нещо като пружинка под пластмасата която закрива вдлабнатината. Реших да го пипна с ръка и видях, че е залепено с двойно залепващо тиксо и мърда. Откачих го и видях, че е закрепено с кабел който отиваше под пластмасата(явно подпъхнат). Изтеглих го до колкото можах и го захвърлих.(знам, но му се ядосах защото бързах, а другият банкомат беше на километър от мен). Въпреки това не посмях да тегля от този банкомат. Лошото е че се случи събота и не можах да уведомя и банката. Мамицата им на тези… дано им изсъхнат ръчичките!!!

  40. @Ивайло – Браво, че си го видял. Надявам се, че си звъннал в полицията. Те трябва да получат сигнал за това.

  41. Това с пръстовия отпечатък „ловци на митове“ го разбиха с най-обикновено тиксо след което сканираха от тиксото и OPEN

  42. @zvenovod –

    Става въпрос за такъв на RF. От всички други банкомати в околноста ми е лев таксата. А й в крайна сметка изтеглих от такав на SG(в Царградски).

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

Този сайт използва Akismet за намаляване на спама. Научете как се обработват данните ви за коментари.