Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zakrywasz PIN do karty? I tak Cię obrobią :/ Skimmery na terminale płatnicze.
Brian Krebs dostarczył kilka nowych zdjęć skimmerów zakładanych na terminale płatnicze.
Płacisz za kawę w Starbucksie: przeciągasz kartę, wpisujesz PIN (pilnie go zakrywając), a tymczasem ta maszyna przesyła wszystkie dane za pomocą Bluetooth do koleżki, który cały dzień siedzi w kawiarni z laptopem. I raczej nie czyta newsów :( Albo czyta, tylko sprawdza ile danych kart płatniczych udało mu się zebrać.
Źródło: Brian Krebs
Jak wspominałem – do maszynki można dostać się przez Bluetooth – Krebs dodaje tutaj, że w celu połączenia z takim urządzeniem wystarczy podać PIN: 2016 (połączenie Bluetooth).
Jak wykryć taką „niespodziankę”. Zazwyczaj lekkie podważenie nakładki powoduje jej odłączenie od „stacji macierzystej”. Uważni spostrzegą zapewne też że na ww. zdjęciu zamienione są klawisze + i – (ciekawe dlaczego?) – zatem chyba podstawą jest znajomość wyglądu normalnego terminala.
Temat nie jest nowy, przynajmniej w USA. A jak w Polsce? Kojarzy ktoś już takie niemiłe urządzenia?
Na koniec, jak widać poniżej konstrukcja nie jest zbyt wyrafinowana, choć niektórzy sugerują że niebawem będzie można takie coś wydrukować bez problemu, w wysokiej jakości na drukarce 3D.
Źródło: Brian Krebs
–ms
„taka sytuacja” – czy rzeczywiście tak trudno jest zrobić terminal płatniczy z ekranem dotykowym, na którym za każdym razem przyciski były by wyświetlane w losowej kolejności ?
zgodzę się że mogło by to być mało wygodne ale jednak chyba ciężej było by wykonać skimmera
Pewnie tak. Ale to równa się koszt, który zapewne musiałby ponieść sklep. Kto na to pójdzie? :/
zgadzam się, tylko wydaje mi się że w masowej produkcji dało by się to zrobić relatywnie tanio :) chociaż nigdy nie zamawiałem pół miliona urządzeń płatniczych ^^
No to wtedy można by sprytnie próbować przechwycić strumień danych z obrazem oraz wszelakie kliknięcia i zapisywać „zrzut ekranu” z pozycją klika. Taki touchlogger ;>
Więcej roboty ale da się :)
Jeśli przyciski są wyświetlane losowo, to po czym poznasz, czy terminal jest oryginalny? ;)
Ekran dotykowy z losowym układem klawiszy uniemożliwiłby mi wpisywanie bezwzrokowe. A jak nie będę mógł zasłonić PIN-u, to już nie będzie on 'P’, bo każdy obok go pozna. Tak więc to też nie jest rozwiązanie :(
To zakryj go głową – ty będziesz widział ekran, inni nie.
Do tego nie będzie trzeba żadnych nakładek — żeby wpisać PIN na przyciskach o losowym układzie musisz ten PIN pokazać każdemu zainteresowanemu, bo nie możesz zakryć ekranu.
Jeśli już iść w stronę droższych rozwiązań i puszczaniu wodzy fantazji, to proponowałbym raczej zrezygnować z uznawania sprzedawcy i jego sprzętu za zaufaną stronę. Pinpad na samej karcie. Nie da się w ten sposób płacić zbliżeniowo, ale też transakcje bezdotykowe są dostępne z myślą o „szybkich” płatnościach bez PIN-u, więc to nie problem, że przy płatnościach z PIN-em będzie trzeba wsadzać kartę w dziurę do zasilania.
aplikacje BLIK choć też mają swoje wady to są niezłym kompromisem pomiędzy prywatnością/bezpieczeństwem a kosztami
Dokładnie jak w/w dotykowa klawiatura z zmiennymi cyferkami, takie coś jest stosowane od dawna w datalockerze: https://datalocker.com/product/datalocker-dl3-fe-fips-edition/
Myślę, że właścicielowi sklepu powinno zależeć na takiej inwestycji. Niech wybiera czy wyda jakąś kwotę na terminal (lub terminal dostanie w dzierżawie i będzie odprowadzał procent od transakcji) czy zapłacić odszkodowanie obrobionemu klientowi za niedostateczne zabezpieczenie swojego sprzętu.
Tylko pewnie trzeba udowodnić jeszcze że kradzież była w danym sklepie?
1. Przezroczysta obudowa – wuja założysz a nie skimmera
2. Rozwiązanie kol. pliszka^2 – oczywiste, że aż boli.
3. Jest rozwiązanie enterprise-grade (w każdym razie wg producenta). Wymagałoby trochę podkręcenia do sektora bankowego: wzmocniona obudowa, moduł łączności z centralą, czytnik paska magnetycznego. Ledger blue: https://www.ledgerwallet.com/products/ledger-blue
A w „long run”: Terminal i tak ma wyświetlacz. Przy takiej masówce zmiana wyświetlacza na większy i dotykowy prawdopodobnie kosztowała by mniej niż wyniosłyby oszczędności z rezygnacji z fizycznej klawiatury – czyli projekt byłby w sumie na plusie.
Ale – przez lata obserwacji – dochodzę do wniosku, że jakimś cudem banki mają w antresoli zabezpieczenia user-side. Tu drobna nieszczelność, tam mały wyciek, „no problem, sir, już oddajemy pieniądze” – niby nikt nie traci, bank hojnie pokrywa wpadki ze „swoich” zaskórniaków. Fascynuje mnie brak dalej idących rozwiązań systemowych, jakby komuś bardzo ale to bardzo zależało na lekko przeciekającym status-quo…
Od siebie dodam tylko:
2a. + wyświetlacz dotykowy jak w bankomatach, tzn. taki, na jakim pod pewnym kątem już nie widać co się wyświetla.
Takie numery to tylko w USA – u nas nie przeciągasz karty tylko ją zbliżasz, a kawa PINu nie wymaga.
Dla nas jest to więc problem wydumany :-)
Na rynek europejski opcja z modułem NFC ;) https://sekurak.pl/odczytywanie-danych-zapisanych-na-zblizeniowych-kartach-platniczych/
Ale co tymi pozyskanymi danymi zrobi ten kto je odczytał – stworzy duplikat karty chipowej?
Użyje w internecie jak tam mam dla zbliżeniówek limit zero?
No problem w tym ze 99% jak nie więcej osób nie ma limitów na zbliżeniówki w necie. I np.: https://sekurak.pl/jak-odzyskac-numer-cvv-i-date-waznosci-karty-platniczej-visa-wystarczy-kilka-sekund/
A czy pin bez karty jest coś warty? W sensie jak ktoś ma mój pin to jeszcze mi musi ukraść kartę, dobrze kminie?