Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Kraków: „fałszywi kontrolerzy w autobusach próbują wykradać pieniądze z kart zbliżeniowych”. Nasz komentarz
Zacznijmy od reakcji czujnej Krakowianki:
Byłam dzisiaj świadkiem nietypowej kontroli biletów, mianowicie kontrolerzy wsiedli do 139 na Rondzie Barei o 5:24, sprawdzili bilety i wysiedli. Nie byłoby w tym nic dziwnego, gdyby nie kolejna kontrola na następnym przystanku. Pewien Pan zwrócił uwagę że kontrola była przed chwilą, na co Pani zareagowała słowami 'niemożliwe, jeździmy zgodnie z harmonogramem, tu nie było kontroli. Wie pan, różni oszuści jeżdżą’. Faktycznie podczas pierwszej kontroli nie pikały czytniki sprawdzając karty, a do biletów papierowych 'kontrolerzy’ nie przywiązywali wagi. Może Pani miała rację i byli to oszuści, którzy próbowali pobrać zbliżeniowo pieniądze od ludzi przykładających całe portfele. Infolinia MPK odesłała mnie do innej firmy mówiąc, że się nie zajmują takimi sprawami. Piszę jedynie w celu ostrzenia pasażerów na przyszłość, by nie przykładali całych portfeli podczas kontroli. Kontrolerzy nie są weryfikowani przez kierowcę, zwłaszcza teraz kiedy jest strefa wydzielona w komunikacji.
W teorii taki atak mógłby zadziałać – ktoś hurtem robi oszukane kontrole w tramwajach i autobusach. Ludzie przykładają portfele m.in. z kartami płatniczymi – część transakcji mogłaby się udać. Teraz przestępcy lecą szybko do bankomatu i znikają.
Są jednak tutaj co najmniej dwa „problemy”:
- Potrzeba wcześniej zarejestrować terminal u jednego z agentów rozliczeniowych – a to związane jest z nieco dokładniejszą procedurą niż: „Dzień dobry, chciałbym moim klientom dać możliwości płatności zbliżeniowych. – Aha, bardzo proszę”. Bardzo trudno więc zarejestrować terminal na niemającego nic do stracenia „słupa”.
- Drugi aspekt to czas, po którym można wypłacić pieniądze, choć tutaj okres oczekiwania nie jest długi. Jak czytamy na stronach rządowych:
„zazwyczaj jest to następny dzień, ale niektóre firmy mogą stosować dłuższe terminy”
W każdym razie, w momencie gdy ktoś się zorientuje kradzieży i zgłosi ten fakt, terminal jest blokowany i wiadomo również kto otrzymał dostęp do pieniędzy. W teorii wszystko jest realizowalne, ale istnieją po prostu prostsze sposoby na oszustwa.
Wracając do głównego wątku, do akcji włączył się nawet radny Krakowa, Łukasz Wantuch, pisząc odpowiednie pismo do Prezydenta Miasta Krakowa:
Mam wyjaśnienie od Dobrego Człowieka, który pozostanie anonimowy. O wyjasnienia najlepiej prosić kierownika filli Kraków ZW Renoma-Kazimierz Szczesiul (to firma kontrolująca bilety) obowiązkowo wniosnkowac do nich o zabezpieczenie monitoringu. Sprawa wyglądała tak, ze zapewne obie kontrolę przeprowadzili uprawnieni kontrolerzy, z tym że ci pierwsi mieli zapewne zaraz konczyc pracę po nocnej zmianie i kierowali sie w stronę filii na Wileńskiej (blisko Ronda Bareii) wiec nie potrzebny byl im.pozniejszy powrót zwiazany z ryzykiem ujawnienia kogoś bez biletu. Czytniki nie pikaly bo były nieaktywne żeby nie wykryly braku biletu na karcie bo to idzie do wewnętrznego systemu i musi być wystawione wezwanie do zapłaty. Zreszta dźwięk z czytnika jest inny. Niedokładne sprawdzanie biletów papierowych (wspomniała o tym autorka postu) tylko potwierdza to o czym pisze.
Taki atak nie ma prawa działać. Terminal nie zadziała, gdy przyłożysz do niego portfel lub etui z wieloma rfidowymi kartami. Miejska karta ma rfid, płatnicza też. Dane z karty miejskiej im na wuj.
Słuszna uwaga, dlatego piszemy: „kartami płatniczymi – część transakcji mogłaby się udać”. Dasz sobie rękę uciąć że w żadnym przypadku nie sczyta żadnej karty z przyłożonego portfela? :)
Dlatego mam kartę w telefonie aby zapłacić muszę mieć włączone nfc i odblokować telefon np palcem albo kodem a nie chce i cały czas kozytam to wyłączam kartę z pomocą nfc dezaktywuj w 95proetach tak robię albo orientuje się po jakis 5 minutach xd także mnie to moga skaowac ile chcą xd
Ale ty wiesz, że kontrola biletu wymaga przyłożenia karty (lub telefonu), bo płacisz za bilet kartą, i nie dostajesz kwitka
@sekurak: jest jeszcze jedna opcja – robisz „relay”, tzn. lewy kanar ;) ma za zadanie tylko mieć czytnik z proxy po GSM, a drugi typ gdzieś sobie odbiera sygnał i kupuje np. bilety w automacie, batoniki czy cokolwiek, co jest dostępne w odludnionym automacie.
naprawdę uważasz że taki wektor ataku ma sens? Od lat powtarza się ten sam przykład z jednej anglojęzyczne konferencji że w labie jest to możliwe (bo sprzęt nie jest przypisany do realnych końcówek). Ile ugrasz takim atakiem za 50zł? Jeszcze raz atak w teorii możliwy, w praktyce nie było i nie będzie takiego ataku.
Ja pisze juz tylko w celu ostrzezenia innych, TAK, oszusci jezdza badz jezdzili po Krakowie i sciagali kase z kart, wlasnie w takich godzinach wczesno porannych!
Mi kilka dni po publikacji tego artykulu pojawila sie transakcja z godziny 4 rano, z dnia 29-09-2020. A jak oszusci omineli wymog podawania PINu? Kwota byla nizsza niz… 50 zl!
Wszystko wskazuje na to ze chyba jest to czytnik jakiegos bylego kontrolera bo tytul transakcji zawieral slowo „RENOMA”. Ja sam musialem wyrobic nowa karte platnicza, inaczej nie wiadomo czy nie skonczyloby sie duzo gorzej niz na stracie niecalych 50 zl.