Kraków: „fałszywi kontrolerzy w autobusach próbują wykradać pieniądze z kart zbliżeniowych”. Nasz komentarz

25 września 2020, 12:50 | W biegu | komentarzy 6
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Zacznijmy od reakcji czujnej Krakowianki:

Byłam dzisiaj świadkiem nietypowej kontroli biletów, mianowicie kontrolerzy wsiedli do 139 na Rondzie Barei o 5:24, sprawdzili bilety i wysiedli. Nie byłoby w tym nic dziwnego, gdyby nie kolejna kontrola na następnym przystanku. Pewien Pan zwrócił uwagę że kontrola była przed chwilą, na co Pani zareagowała słowami ‚niemożliwe, jeździmy zgodnie z harmonogramem, tu nie było kontroli. Wie pan, różni oszuści jeżdżą’. Faktycznie podczas pierwszej kontroli nie pikały czytniki sprawdzając karty, a do biletów papierowych ‚kontrolerzy’ nie przywiązywali wagi. Może Pani miała rację i byli to oszuści, którzy próbowali pobrać zbliżeniowo pieniądze od ludzi przykładających całe portfele. Infolinia MPK odesłała mnie do innej firmy mówiąc, że się nie zajmują takimi sprawami. Piszę jedynie w celu ostrzenia pasażerów na przyszłość, by nie przykładali całych portfeli podczas kontroli. Kontrolerzy nie są weryfikowani przez kierowcę, zwłaszcza teraz kiedy jest strefa wydzielona w komunikacji.

W teorii taki atak mógłby zadziałać – ktoś hurtem robi oszukane kontrole w tramwajach i autobusach. Ludzie przykładają portfele m.in. z kartami płatniczymi – część transakcji mogłaby się udać. Teraz przestępcy lecą szybko do bankomatu i znikają.

Są jednak tutaj co najmniej dwa „problemy”:

  • Potrzeba wcześniej zarejestrować terminal u jednego z agentów rozliczeniowych – a to związane jest z nieco dokładniejszą procedurą niż: „Dzień dobry, chciałbym moim klientom dać możliwości płatności zbliżeniowych. – Aha, bardzo proszę”. Bardzo trudno więc zarejestrować terminal na niemającego nic do stracenia „słupa”.
  • Drugi aspekt to czas, po którym można wypłacić pieniądze, choć tutaj okres oczekiwania nie jest długi. Jak czytamy na stronach rządowych:
    „zazwyczaj jest to następny dzień, ale niektóre firmy mogą stosować dłuższe terminy”

W każdym razie, w momencie gdy ktoś się zorientuje kradzieży i zgłosi ten fakt, terminal jest blokowany i wiadomo również kto otrzymał dostęp do pieniędzy. W teorii wszystko jest realizowalne, ale istnieją po prostu prostsze sposoby na oszustwa.

Uwaga na boku: z kart można bezstykowo wyciągać pewne dane czy próbować realizować inne bardziej techniczne ataki – ale ponownie – inne metody na oszustwo są o wiele prostsze/skuteczniejsze.

Wracając do głównego wątku, do akcji włączył się nawet radny Krakowa, Łukasz Wantuch, pisząc odpowiednie pismo do Prezydenta Miasta Krakowa:

Pismo…

A po jakimś czasie dodatkowo informując:
Mam wyjaśnienie od Dobrego Człowieka, który pozostanie anonimowy. O wyjasnienia najlepiej prosić kierownika filli Kraków ZW Renoma-Kazimierz Szczesiul (to firma kontrolująca bilety) obowiązkowo wniosnkowac do nich o zabezpieczenie monitoringu. Sprawa wyglądała tak, ze zapewne obie kontrolę przeprowadzili uprawnieni kontrolerzy, z tym że ci pierwsi mieli zapewne zaraz konczyc pracę po nocnej zmianie i kierowali sie w stronę filii na Wileńskiej (blisko Ronda Bareii) wiec nie potrzebny byl im.pozniejszy powrót zwiazany z ryzykiem ujawnienia kogoś bez biletu. Czytniki nie pikaly bo były nieaktywne żeby nie wykryly braku biletu na karcie bo to idzie do wewnętrznego systemu i musi być wystawione wezwanie do zapłaty. Zreszta dźwięk z czytnika jest inny. Niedokładne sprawdzanie biletów papierowych (wspomniała o tym autorka postu) tylko potwierdza to o czym pisze.
Podsumowując – czujności nigdy za wiele, choć scenariusz kradzieży pieniędzy ze zbliżeniowych kart płatniczych w transporcie publicznym jest bardzo mało prawdopodobny.
–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Taki atak nie ma prawa działać. Terminal nie zadziała, gdy przyłożysz do niego portfel lub etui z wieloma rfidowymi kartami. Miejska karta ma rfid, płatnicza też. Dane z karty miejskiej im na wuj.

    Odpowiedz
    • Słuszna uwaga, dlatego piszemy: „kartami płatniczymi – część transakcji mogłaby się udać”. Dasz sobie rękę uciąć że w żadnym przypadku nie sczyta żadnej karty z przyłożonego portfela? :)

      Odpowiedz
  2. Mikołaj

    Dlatego mam kartę w telefonie aby zapłacić muszę mieć włączone nfc i odblokować telefon np palcem albo kodem a nie chce i cały czas kozytam to wyłączam kartę z pomocą nfc dezaktywuj w 95proetach tak robię albo orientuje się po jakis 5 minutach xd także mnie to moga skaowac ile chcą xd

    Odpowiedz
    • Oleks

      Ale ty wiesz, że kontrola biletu wymaga przyłożenia karty (lub telefonu), bo płacisz za bilet kartą, i nie dostajesz kwitka

      Odpowiedz
  3. Filip

    @sekurak: jest jeszcze jedna opcja – robisz „relay”, tzn. lewy kanar ;) ma za zadanie tylko mieć czytnik z proxy po GSM, a drugi typ gdzieś sobie odbiera sygnał i kupuje np. bilety w automacie, batoniki czy cokolwiek, co jest dostępne w odludnionym automacie.

    Odpowiedz
    • Jan Nowak z Bruszewa Średniego

      naprawdę uważasz że taki wektor ataku ma sens? Od lat powtarza się ten sam przykład z jednej anglojęzyczne konferencji że w labie jest to możliwe (bo sprzęt nie jest przypisany do realnych końcówek). Ile ugrasz takim atakiem za 50zł? Jeszcze raz atak w teorii możliwy, w praktyce nie było i nie będzie takiego ataku.

      Odpowiedz

Odpowiedz