Zakrywasz PIN do karty? I tak Cię obrobią :/ Skimmery na terminale płatnicze.

27 lutego 2017, 21:25 | W biegu | komentarzy 19
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Brian Krebs dostarczył kilka nowych zdjęć skimmerów zakładanych na terminale płatnicze.

Płacisz za kawę w Starbucksie: przeciągasz kartę, wpisujesz PIN (pilnie go zakrywając), a tymczasem ta maszyna przesyła wszystkie dane za pomocą Bluetooth do koleżki, który cały dzień siedzi w kawiarni z laptopem. I raczej nie czyta newsów :( Albo czyta, tylko sprawdza ile danych kart płatniczych udało mu się zebrać.

Źródło: Brian Krebs

Jak wspominałem – do maszynki można dostać się przez Bluetooth – Krebs dodaje tutaj, że w celu połączenia z takim urządzeniem wystarczy podać PIN: 2016 (połączenie Bluetooth).

Jak wykryć taką „niespodziankę”. Zazwyczaj lekkie podważenie nakładki powoduje jej odłączenie od „stacji macierzystej”. Uważni spostrzegą zapewne też że na ww. zdjęciu zamienione są klawisze + i – (ciekawe dlaczego?) – zatem chyba podstawą jest znajomość wyglądu normalnego terminala.

Temat nie jest nowy, przynajmniej w USA. A jak w Polsce? Kojarzy ktoś już takie niemiłe urządzenia?

Na koniec, jak widać poniżej konstrukcja nie jest zbyt wyrafinowana, choć niektórzy sugerują że niebawem będzie można takie coś wydrukować bez problemu, w wysokiej jakości na drukarce 3D.

Źródło: Brian Krebs

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. pliszka^2

    „taka sytuacja” – czy rzeczywiście tak trudno jest zrobić terminal płatniczy z ekranem dotykowym, na którym za każdym razem przyciski były by wyświetlane w losowej kolejności ?

    zgodzę się że mogło by to być mało wygodne ale jednak chyba ciężej było by wykonać skimmera

    Odpowiedz
    • Pewnie tak. Ale to równa się koszt, który zapewne musiałby ponieść sklep. Kto na to pójdzie? :/

      Odpowiedz
      • pliszka^2

        zgadzam się, tylko wydaje mi się że w masowej produkcji dało by się to zrobić relatywnie tanio :) chociaż nigdy nie zamawiałem pół miliona urządzeń płatniczych ^^

        Odpowiedz
        • ks

          No to wtedy można by sprytnie próbować przechwycić strumień danych z obrazem oraz wszelakie kliknięcia i zapisywać „zrzut ekranu” z pozycją klika. Taki touchlogger ;>

          Więcej roboty ale da się :)

          Odpowiedz
    • J

      Jeśli przyciski są wyświetlane losowo, to po czym poznasz, czy terminal jest oryginalny? ;)

      Odpowiedz
    • chesteroni

      Ekran dotykowy z losowym układem klawiszy uniemożliwiłby mi wpisywanie bezwzrokowe. A jak nie będę mógł zasłonić PIN-u, to już nie będzie on ‚P’, bo każdy obok go pozna. Tak więc to też nie jest rozwiązanie :(

      Odpowiedz
      • SuperTux

        To zakryj go głową – ty będziesz widział ekran, inni nie.

        Odpowiedz
    • Do tego nie będzie trzeba żadnych nakładek — żeby wpisać PIN na przyciskach o losowym układzie musisz ten PIN pokazać każdemu zainteresowanemu, bo nie możesz zakryć ekranu.

      Jeśli już iść w stronę droższych rozwiązań i puszczaniu wodzy fantazji, to proponowałbym raczej zrezygnować z uznawania sprzedawcy i jego sprzętu za zaufaną stronę. Pinpad na samej karcie. Nie da się w ten sposób płacić zbliżeniowo, ale też transakcje bezdotykowe są dostępne z myślą o „szybkich” płatnościach bez PIN-u, więc to nie problem, że przy płatnościach z PIN-em będzie trzeba wsadzać kartę w dziurę do zasilania.

      Odpowiedz
    • czesio

      aplikacje BLIK choć też mają swoje wady to są niezłym kompromisem pomiędzy prywatnością/bezpieczeństwem a kosztami

      Odpowiedz
  2. Jufo
    Odpowiedz
  3. Marcin

    Myślę, że właścicielowi sklepu powinno zależeć na takiej inwestycji. Niech wybiera czy wyda jakąś kwotę na terminal (lub terminal dostanie w dzierżawie i będzie odprowadzał procent od transakcji) czy zapłacić odszkodowanie obrobionemu klientowi za niedostateczne zabezpieczenie swojego sprzętu.

    Odpowiedz
    • Tylko pewnie trzeba udowodnić jeszcze że kradzież była w danym sklepie?

      Odpowiedz
  4. Pyth0n

    1. Przezroczysta obudowa – wuja założysz a nie skimmera
    2. Rozwiązanie kol. pliszka^2 – oczywiste, że aż boli.
    3. Jest rozwiązanie enterprise-grade (w każdym razie wg producenta). Wymagałoby trochę podkręcenia do sektora bankowego: wzmocniona obudowa, moduł łączności z centralą, czytnik paska magnetycznego. Ledger blue: https://www.ledgerwallet.com/products/ledger-blue

    A w „long run”: Terminal i tak ma wyświetlacz. Przy takiej masówce zmiana wyświetlacza na większy i dotykowy prawdopodobnie kosztowała by mniej niż wyniosłyby oszczędności z rezygnacji z fizycznej klawiatury – czyli projekt byłby w sumie na plusie.

    Ale – przez lata obserwacji – dochodzę do wniosku, że jakimś cudem banki mają w antresoli zabezpieczenia user-side. Tu drobna nieszczelność, tam mały wyciek, „no problem, sir, już oddajemy pieniądze” – niby nikt nie traci, bank hojnie pokrywa wpadki ze „swoich” zaskórniaków. Fascynuje mnie brak dalej idących rozwiązań systemowych, jakby komuś bardzo ale to bardzo zależało na lekko przeciekającym status-quo…

    Odpowiedz
    • Od siebie dodam tylko:

      2a. + wyświetlacz dotykowy jak w bankomatach, tzn. taki, na jakim pod pewnym kątem już nie widać co się wyświetla.

      Odpowiedz
  5. Takie numery to tylko w USA – u nas nie przeciągasz karty tylko ją zbliżasz, a kawa PINu nie wymaga.
    Dla nas jest to więc problem wydumany :-)

    Odpowiedz
  6. Tomek

    A czy pin bez karty jest coś warty? W sensie jak ktoś ma mój pin to jeszcze mi musi ukraść kartę, dobrze kminie?

    Odpowiedz

Odpowiedz