Had- és rendvédelem-história, kicsit másképp

Összeálltunk páran, hogy kipróbáljuk: lehet-e szórakoztatóan, ugyanakkor informatívan foglalkozni rendvédelem-történeti, valamint katonahistóriai témákkal. Szerintünk igen. *** imélke nekünk: blog.lemil(at)yahoo.co.uk --- BLOGUNK A MAGYAR BLOGGERSZÖVETSÉG TAGJA ---

Megjelent a Kémek krémje!

borito_240.jpg

Naptár

szeptember 2017
Hét Ked Sze Csü Pén Szo Vas
<<  < Archív
1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30

Lemil-fészbúk

Olvasóink lobogói

Pillanatnyi olvasólétszám:

website stats

Utolsó öt komment

Fontosabb címkék

1848 49 (46) afganisztán (6) afrika (11) ajánló (80) alagút (7) állat (8) amerikai (93) angolok (8) arabok (15) átirányítás (13) atom (10) ausztrál (5) ázsia (14) balkán (5) betyár (5) biofegyver (5) biztonságpolitika (5) brazil (7) brit (67) buli (6) büntetésvégrehajtás (7) büntetőjog (11) címer (6) csata (7) csatabemutató (9) csendőrség (6) dél amerika (7) ejtőernyős (28) életrajz (39) elmélet (11) erdély (5) erőd (8) évforduló (53) fegyver (7) ferencjózsef (11) francia (24) görgey (13) görögök (6) háborús bűn (8) hadifogoly (5) haditechnika (81) haditengerészet (46) hadsereg (15) hadtörténelem (147) hadtörténet (19) hadvezérek (9) hagyományőrzők (5) hajók (5) harckocsi (23) határőrség (7) hellókarácsony (5) helyi háborúk (17) hidegháború (43) híres bűnözők (8) honvédség (11) horthy (6) humint (24) huszár (10) i. világháború (45) ii világháború (106) izrael (26) japán (22) játék (6) k.u.k. (8) kalóz (5) kamikaze (6) kanada (5) katonazene (10) kelták (5) kémek és hírszerzők (57) kiképzés (7) kína (5) kínai (5) kivégzés (6) könyv (5) középkor (10) közép amerika (6) kuba (8) különlegesek (70) légierő (48) légvédelem (6) lengyel (17) lengyel magyar barátság (8) lovas (6) lovasság (10) lövészárok (5) magyar (140) makett (7) monarchia (13) múzeum (12) német (63) nők (12) ókor (13) olasz (13) önvédelem (5) orosz (27) ostrom (6) osztrák (30) osztrák magyar (27) pestis (6) plakát (12) podcast (9) polgárháború (5) porosz (5) portugál (6) programajánló (10) reform (6) reklám (5) rendőr (5) rendőrség (5) rendvédelem (50) róma (13) rövidhír (18) sigint (6) skandináv (6) skót (6) sorozat (14) svéd (6) számítógép (9) szavazás (7) szerb (10) szlovák (5) szolgálati közlemény (36) szovjet (57) sztálin (5) telefonkártya (6) tengeralattjáró (16) tengerészgyalogos (10) terror (21) titkosszolgálat (65) török (15) tűzfegyver (9) ünnep (5) USA (5) usa (52) utánközlés (23) vadászgép (11) várostrom (6) vendégposzt (80) vértanú (11) vicc (7) vietnam (5) vitaposzt (55) wysocki légió (12) zene (11) A többi címke

Közkívánatra: feedek

Automata

2012.05.23. 08:00 Papírzsepi

- Halló, ön özvegy Kovács Lajosné a Rottenbiller utca 88-ból?
- Igen, én vagyok.
- A kedvenc bankjából telefonálok, és szeretném megkérdezni, hogy jól érzi-e magát Thaiföldön?
- Dehát én itthon vagyok Budapesten! Nincs nekem pénzem Thaiföldre utazni....
- Hát, most már tényleg nincs. Épp fél órája emelték le az egészet a számlájáról Bangkokban...

A fenti beszélgetés persze fikció, de mind tudjuk, hogy a valóság ihlette. Elég egy megfelelően preparált bankautomata, egy óvatlan ügyfél, és már másolják is le a bankkártyánkat valahol a világ túlsó felén. 

Gyakran előforduló dolog, mostanában egyre gyakrabban. Épp ezért szokták a szakértők kérni, hogy mielőtt bedugnánk a kártyánkat az ATM-gépe, győződjünk meg róla, hogy nincs rajta semmilyen oda nem való dolog, nincs a gép preparálva.

Most pedig mindenki tegye fel a kezét, aki pontosan ismeri a Magyarországon jelenleg használt több tucatnyi bankautomata-típus kinézetét! Mégpedig annyira, hogy akár éjszaka, három üveg sör után is el tudja dönteni, hogy nem változtattak-e rajta valamit! 

Na, ugye! 

A Lemil szolgáltató blog, és mint ilyen, most egy rövid poszt erejéig megpróbálunk segíteni. Lássunk tehát pár példát, hogy milyen megoldásokkal dolgoznak a rosszfiúk, mit kellene éjszaka négy üveg sör után kiszúrnunk.

A kártya

Bemelegítésként nézzük meg közelebbről magát a bankkártyát!

Manapság a legelterjedtebb kártyák mágnescsíkot használnak. Ugyan Magyarországon ma minden újonnan kiadott bankkártyában lennie kell chipnek is, de mivel még rengeteg chip nélküli kártya van forgalomban és sok külföldi országban még messze nem tartanak ilyen jól, így még sok-sok évbe beletelik, míg végre megszabadulhatunk a mágnescsíktól.

Pedig a chipes módszer jelentősen jobb: míg a mágnescsíkot nem különösebben nehéz lemásolni, addig a chipet  az alkalmazott titkosítási módszer miatt   kifejezetten problémás.

Megjegyzés: Aki még emlékszik az első telefonkártyákra Magyarországon, az talán arra is emlékszik, hogy milyen egyszerű megoldást használtak. Így akkoriban a műszaki egyetemes fiúk hobbija a minél kényelmesebb telefonkártya-szimulátor tervezése és építése volt, és bizony a végén már egészen komoly darabok is megjelentek. 

Na a chipes bankkártyáknál ez nagyon nem így van. A közelítéseseknél (NFC - Near Field Communication) meg pláne nem.

Szóval ma még mindig elsősorban a mágnescsík használatos, és ez a rendszer gyenge pontja.

A mágnescsík három adat-sávot tartalmaz, melyből általában csak kettőt használnak (sztereó). Összesen olyan 100 bájtnyi adat tárolódik rajta, de ezek nem bájtos szervezésűek. A mágnescsík tárolja a tulajdonos nevét, a kártyaszámot, a lejárati dátumot és  egy seregnyi biztonsági- és hibajavítási ellenőrző kódot. Ha van chip a kártyában, azt is jelölni szokták a mágnescsíkon (ha olyan ATM-be dugják, amiben nincs chip-olvasó, akkor ez persze pont mindegy). Nem tárolódik viszont a PIN kód, és az ügyfél számlaszáma. 

A mágnescsík simán és egyszerűen olvasható, tárolható, továbbítható hálózaton és bárhol gyártható belőle klón kártya. Akár több is. Ugyanakkor maguknak a műanyag kártyának is vannak további biztonsági elemei (pl. a rajta lévő aláírás), melyek sajnos ATM gépeknél kevésbé tudnak érvényesülni. Tehát a mágnescsík tartalma és a PIN kód jellemzően már elegendő, hogy leszívják a számláról a pénzt. És az ezzel foglalkozó bűnözők általában pont erre a kettőre utaznak.

Megjegyzés: a kártyamásolással leemelt (ellopott) pénzt a bank megtéríti az ügyfélnek, amennyiben az jóhiszeműen járt el. Egyes bankoknál viszont nem szokott sima ügy lenni, ráadásul az sem kényelmes, ha a benzinkútnál, fizetésnél derül fény a problémára (akár a pénz hiányára, akár arra, hogy a kártyát a bank letiltotta). Tehát nem árt résen lenni.

Most pedig lássuk a főbb módszereket, és hogy mit is kéne észrevennünk.

A lobbizár

Elég sok olyan automata van, mely bankfiók előterében, a lobbiban van. Ez nyitvatartási időben nem gond, de zárás után már problémás. Ilyenkor ugyanis a főbejárat már zárva van, mégis jó lenne az ügyfeleket az automatához engedni.  

Ezt úgy szokták megoldani, hogy elhelyeznek egy kártyaolvasót a főbejárat külső oldalán. Ez a lobbizár, ami egy magányos olvasó egység, nem rögzít semmit, nem kér PIN kódot, és elvileg minden bankkártyának tűnő tárgyat leolvas. Ha az olvasás formailag sikeres volt, nyitja az ajtót, és be lehet menni az automatához.

Ez eddig rendben is van, de van a módszernek pár hátránya. Mindjárt a legelső, hogy a lobbizár támadható helyen van, meglehetősen védtelen. Ráadásul sokféle típust használnak belőle, így kevesek tudják, hogy pontosan hogyan is kéne kinéznie ezeknek.

A legegyszerűbb támadási módszer tehát a lobbizár módosítása. Ha például rátesznek egy eredetivel megegyező formájú, de fél centivel nagyobb dobozt, azt kevesen veszik észre. Ebbe már belefér még egy extra kártyaolvasó-fej és a rögzítő elektronika is, így a kártyaadatok már megvannak, már csak PIN kód kell.

Egy jól elhelyezett kamera ezen sokat segít (lásd a képen a reklámtartóba építve), de ha a lobbizár egyszer csak elkezd PIN kódot kérni az ügyfelektől, bizony akkor is sokan megadják...

Talán nem véletlen, hogy a bankbiztonsági szakemberek nem nagyon szeretik a lobbizáras helyeket, főleg az elhagyatottabb vidékeken lévőket. 

Hamm-hamm

Igazi klasszikus trükk, de ma már szerencsére kevésbé divatos. A cél a kártya megszerzése. A mutatványhoz némi videoszalag meg ragasztó kell, valamint egy műanyag előlap. A videoszalagot úgy helyezik el a kártya-bedugó nyílásnál, hogy a behelyezett kártyát pont abban a pozícióban akassza meg, amikor az ügyfél már nem tudja visszavenni, az automata még nem tudja behúzni, de már kidobni sem képes. Ezzel a kártya elakad, az ügyfél nem tudja kivenni; a csapda telepítője viszont simán és egyszerűen. Tehát a kártya megvan.

És mi van a PIN kóddal? Hát, amikor a kártya beragad, akkor az ügyfél fel fogja hívni az automatára írt telefonszámot, és segítséget kér. A hívást fogadó "úriember" meg simán megkérdezi a PIN kódot, "csak ellenőrzésként". Sokan megmondják, mivel alapvetően megbízunk az automatára ragasztott matricákban.

Amúgy a pénzkiadó rész is ellátható olyan borítással, hogy a pénz elakadjon benne. Az ügyfél háborog, hogy nem kap pénzt, a bank lekönyvelte, hogy az automata kiadta, a rosszfiúknak meg jó napja van. Talán nem véletlen, hogy ha a pénzt nem veszi el az ügyfél időben, az automata visszahúzza azt, és ezt könyveli is.

Kiegészítés

A leggyakoribb, és talán legrégebbi módszer, ha a támadó fel-extrásítja az automatát: egyszerűen ráépít valamit, ami normálisan nem oda való. Alapvetően itt is a mágnescsík és a PIN kód a célpont.

Tehát a legfontosabb a maszek kártyaolvasó-fej, mely egy picike szerkezet, tehát klasszikusan jól elhelyezhető a kártyafogadó nyílás előtt/alatt. Csak picit álcázni kell. Márpedig aki bankautomatát hamisít, az bizony fel van készülve erre! Az alábbi képen jobb oldalt a manipulált, bal oldalon az eredeti ATM látható.  
Az extra egység általában kicsi, és nem feltűnő. Az anyaga ugyanolyan, mint az automatáé. Stimmel a színvilág és a dizájn. Ezek az eszközök nagyon beleolvadnak a környezetükbe, igen nehéz őket kiszúrni. Működés közben pedig bluetooth kapcsolaton át továbbítják a kártyaadatokat valakinek.

Amire talán érdemes figyelni, hogy a legtöbb automatánál világít/villog a keret a kártyanyílás körül, miközben a preparátumok nagy része ezt eltakarja. Érdemes még félig kilógó feliratokat, részben eltakart matricákat keresni, azok is árulkodó jelek lehetnek.

A kód megszerzésére ma legegyszerűbb megoldás egy kamera, ami pont rálát a billentyűzetre. Gyakran a preparátum eleve multifunkciós, tehát kártyaolvasó és rejtett kamera (all-in-one) egyben. 

Ha nincs kamera, más módszer is járható. Elég a klaviatúrára nyomásérzékeny fóliát tenni, vagy púdert, esetleg olajat - utána már csak pár kombinációt kell kipróbálni.

Megjegyzés: lehet hőkamerával is követni, hogy mikor melyik gombot érintették meg (melegítették fel picit). Ez a hőnyom elég sokáig látható marad, tehát az ügyfél távozása után egy darabig még  visszakövethető. Ám a hőkamera drága dolog, és a módszer pontossága sem az igazi.

Persze az automata-gyártók sem tétlenkednek. Jobb helyeken az automata alkatrészei számozottak és szigorúan nyilvántartottak. Ennek ellenére aki igazán akar, be tud szerezni "utángyártott" alkatrészeket hozzájuk a neten.

Ráadásul a 3D nyomtatási technológia fejlődése miatt ma már akármilyen alakú tárgy elkészíthető otthon is, meglepően jó minőségben. 

Korábban az volt a fő irányzat, hogy jó bonyolult, speciális kialakítású, lekerekített, áttetsző anyagból készült előtéteket terveztek az automatákra, mert ezek másolása/kiegészítése nehezebb. Ráadásul szigorúan könyvelt és ellenőrzött alkatrészekről volt szó. Az ilyen megoldásokat a gyártók védettként hirdették, és pár napig bizony tényleg azok is voltak - de utána ezeket is profin lemásolták. Ráadásul nem is akárhogyan: kamerával, olvasófejjel, rádióval ellátott, az eredetihez megszólalásig hasonló eszközök készültek. Továbbá ezek rögzítése is olyan volt, hogy nem is nagyon ért hozzá az automata testéhez, amiben ugyebár lehetnek trükkös érzékelők.

Jobb oldalon például egy preparált automata, bal oldalon az igazi látható. Az alsó képeken pedig egy szinte észrevehetetlen betét látható. Hát, ilyeneket kéne öt sör után észrevennünk... 


 

 

 

 

 

 

 

 

 

 

Az automata-gyártók persze próbálnak ez ellen védekezni. Egy érdekes trükk például, hogy bizonyos automaták nem folyamatos mozgással húzzák be a kártyát, hanem akadozva, esetleg előre-hátra tologatva, darabosan. Ez azért van, mert az automata számítógépe ismeri a mozgásokat, így korrigálni tudja az olvasott jeláradatot. A kiegészítő egység viszont erre nem képes. (Az ügyfélre meg közben a frász jön, hogy mi ez....)

Beépített okosság

De nem kell feltétlenül rászerelni az automatára bármit is, ha egyszer bele is lehet építeni a segéd-elektronikát. Igen, bele a dobozba, például a gyári olvasó elé. 

Ehhez első lépésként kell fúrni egy lyukat, mégpedig a lehető legkevésbé feltűnően. Ez egyszerűbb, mint gondolnánk. A legtöbb automata ugyanis tele van ragasztva különféle reklám-matricákkal, vagy tele van rakva cserélhető reklámtáblákkal. Ha meg konkrétan nincs is ilyen a kelően helyen, hát most majd lesz....

A következő lépésben ki kell fúrni az automatát, és a lyukon át beépíteni a gyárilag ott lévő olvasófej elé az újat (vagy megcsapolni a gyárit). Ez kicsit nőgyógyász-munka, főleg a zsúfoltabb belsejű automata-típusoknál, de megéri a fáradtságot.

Utána a lyukat el lehet takarni reklámtáblával vagy matricával, és kívülről rögtön nem is látszik semmi. Kell még a klaviatúrát figyelő kamera is, amihez az automatát világító fénycső-armatúra a legjobb hely. Az könnyen nyitható, és nem feltűnő rajta az az icipici lyuk (lásd a képen).
Ez egy nagyon veszélyes technika, mert kívülről alig van nyoma. Annyi azért segíthet, ha PIN kód megadásánál akkor is a lehető legjobban takarjuk a kezünket, ha épp nem áll a közelben senki.

Hamis ATM

Az ügyfelek jelentős része egyébként vakon megbízik az automatákban. Sokaknak még az sem akadály, amikor a képernyőre nagy betűkkel ki van írva: "NEM MŰKÖDIK", és az automata hátuljából egy csomó drót lóg ki. Meg egy szerelő. Ettől még lazán beledugják a kártyát (legfeljebb majd a szerelő visszaadja...).

Tehát ha egy tárgy ATM-nek néz ki, akkor előbb-utóbb valaki biztosan beledugja a kártyáját, majd ha a képernyőn erre utasítják, akkor beírja hozzá a PIN kódot is. Ha ezután az ál-automata közli, hogy "bocs, váratlan hiba, hibakód: 54", majd visszaadja a kártyát, akkor az ügyfél ugyan morogva távozik, de nem fog gyanút. 

Olyan is előfordult már, hogy ilyen ál-bankautomatát egy bankfiók lobbijában helyeztek el, az igazi automata mellé (a képen a jobb oldali automata például hamis, középen az elkövető). Kinézetre pont ugyanúgy nézett ki, mint egy igazi, és hasonlóan is viselkedett. Csak épp egyetlen fillérrel sem járult hozzá a tranzakciós-adó-bevételekhez...

Ezt a poént 2009-ben Las Vegasban  sütötte el egy bűnbanda, mégpedig a Riviera hotelben. Már rutinosak voltak a témában, a biztonsági kamerák által nem figyelt területen állították fel a saját dobozukat. Ám aznap az ál-ATM nem volt hosszú életű. Épp akkor és ott tartották ugyanis a Defcon hacker-konferenciát, amire 8000 biztonságtechnikai szakember érkezett a hotelbe...

Szakemberek

Az ATM-manipulációs tudás egyébként jellemzően Románia, és Szerbia felől érkezik hozzánk. Ám nem csak Magyarországra: ezeknek a "szakembereknek" világszerte jó híre van a szakmában. 

Általában nem olyan ATM-eket szemelnek ki, melyek biztonsági kamerák kereszttüzében fürdenek, hanem inkább elhagyatottabb, néptelenebb területen lévő gépeket választanak ki. Ez Magyarországon legfeljebb az automaták 10%-át jelenti, de ez is több száz gépet takar.

A módosításokat a forgalommentes (éjszakai) időszakban telepítik a gépekre, és általában csak pár órán át működnek. Ma már jellemzően azonnal továbbítják is a megszerzett adatokat, melyek utána rövid úton külföldre kerülnek.

Igyekeznek kerülni az ATM-töltési időszakot, és általában alaposan felkészülnek a melóra: egy ATM preparálása komoly tudást feltételez, hiszen el kell kerülni a beleépített biztonsági rendszereket, ki kell használni az automata gyenge pontjait, és ismerni kell a pontos működésüket is.

Sült hekk

 Van viszont egy másik irányzat is, mely egészen másfajta szakembereket igényel. Ez pedig az informatikai alapú hekkelés, tehát amikor az automatán futó programot módosítják. Ez a fajta bűncselekmény (az automatán futó program illegális "frissítése", vagy valamely informatikai sebezhetőség kiaknázása) hazánkban szerencsére (még) nem elterjedt. Habár a gépek védettsége itthon sem jobb (sok automatán OS/2, WinXP, WinCE, stb. fut, melyek sebezhetőségei jól kihasználhatók), a módszer mélyebb ismereteket igényel mind az egyes gépekről, mind a mögöttük dolgozó hálózatról. Mindemellett a jövőben még okozhatnak majd gondot a konzolkalózok.

Ilyen módszerekkel simán kifosztható a gép páncélszekrénye, rögzíttetni lehet a mágnescsíkok adatait a PIN kódokkal együtt, a később egy nagyon-privát menüpontból mindez hozzáférhetővé (nyomtathatóvá) is válik. Ráadásul az ügyfélnek semmi esélye nincs észrevenni a manipulációt.

Ellenőrző feladat

És akkor végezetül most egy kis gyakorlás következik. Az alábbi ábrán látható automata preparált, vagy érintetlen?


 

Természetesen preparált. Íme kicsit szétszedve. Jó keresgélést!


 Az ábrákat jórészt a netről szereztem, illusztrációnak.

Ha pedig valakinek vannak remek rémtörténetei, hasznos tanácsai, akkor a kommentek között szívesen fogadjuk őket!

Addig is pár forrás olvasgatni: link, link

66 komment

Címkék: magyar bank számítógép számmal jelölt bankszámla

A bejegyzés trackback címe:

http://lemil.blog.hu/api/trackback/id/tr244496935

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Lakatos Gábor · http://asimov.blog.hu 2012.05.23. 08:58:03

Ez nagyon jó poszt, sok fele kéne publikálni, mert rengeteg a naiv, tudatlan kártya használó....

Tyeplica 2012.05.23. 10:10:23

Ha viszont minden bankszámlaterhelés után SMS értesítést kapsz, akkor rögtön feltűnik, hogy te nem Chilében vagy és nem ott vásárolsz/veszel fel pénzt és riaszthatod a bankod, tilthatod a kártyád. Meg hát ugye a limit. Évek óta jól élek 50000,- Ft-os tranzakciós ÉS napi limittel. Ha éppen drágább dolgot vásárolok, fél percig tart elötte felemelni, utána meg ismét visszacsökkenteni a limitet.

dpfancsali 2012.05.23. 10:11:31

Annyit azért hozzátennék, hogy a Chipes kártya tényleg elég biztonságos, de amíg a pultos kislány kezeli a terminált a gyorsétteremben, és te át kell, hogy add neki a kártyádat, addig az egészet megette a fene.

Külföldön nem sóherek, van minden kassza mellett terminál kitéve, és te használod, eszükbe sem jut, hogy átadd a kártyádat.

Az NFC meg szép és jó, de amennyire tudom a jelenlegi megoldások semmiféle megerősítést nem kérnek. Elég egy ballonkabát alá rejtett olvasó a 7-es buszon, és máris az egész busz átutalt neked némi "adományt"...

freemind93 2012.05.23. 10:46:34

@Tyeplica: bár mivel a bank állja cechet, nekem mindegy, hogy 50-et vagy 150-et veszítenek.

milliliteratura · http://milliliteratura.blog.hu/ 2012.05.23. 11:15:27

rendkívül hasznos poszt, most egy hétig minden gépet megvizsgálok felvétel előtt (bár én a boltban fizetős fajta vagyok), aztán vélhetően visszaáll az egységsugarú balfasz-üzemmód.
minden kártyaigénylésnél végig kellene olvastatni ezt a posztot az igénylővel, és szóról-szóra kikérdezni.

a gépeket meg standardizálni kéne, egyetlen sík fémlapból szabadna állnia, melybe tökéletesen illeszkedik a képernyő, illetve szabványos helyen a két rés a kártyának meg a pénznek. a felületet pedig nagyfelbontású, sűrű mintázatú fóliával kell fedni(pl vasarelly-képekkel, vagy hasonló térbeli mintákkal). ekkor a fizikai preparálási kísérletek 95%-a azonnal kiszúrható lenne. plusz kötelezni, hogy minden automatát olyan kamera figyel, aminek a végén ember is van.

milliliteratura · http://milliliteratura.blog.hu/ 2012.05.23. 11:19:00

@dpfancsali: igen, ez meg is lepett. itt uk-ben max akkor nyúlnak a kártyádhoz, ha már negyed órája balfaszkodsz, mert nem tudod hogy kell betenni a leolvasóba. ekkor a megfelelő irányba fordítva visszaadják a kártyát, és te teszed be. a végén te is veszed ki.

milliliteratura · http://milliliteratura.blog.hu/ 2012.05.23. 11:21:09

@freemind93: most még. de amikor épp leemelt egy kedves bangkoki ismerős 150-et a kártyán lévő 162K-ból, te meg épp teletankoltad a volgát, akkor rohadtul nem leszel boldog.
visszakapod, persze(?), de nem akkor használod a pénzed, amikor szeretnéd.

Papírzsepi · http://lemil.blog.hu 2012.05.23. 11:26:14

@Tyeplica: nem is feltétlen te vagy a célcsoport. Itt a nagy számok érvényesülnek.
Egyébként a bankok szeretnék már a gyanús tranzakció előtt elkapni a dolgot, hogy eleve ki se kelljen fizetni.
Amúgy általában nem a bank állja a cechet. Ha valaki Chilében vásárol a te kártyáddal, te reklamálsz, akkor a bank már eleve ki sem fizeti a kereskedőt (nem véletlen van 5-20 napnyi késleltetés). Mivel a kereskedőé a kockázat, így ezt egy picit emelt árakban fogja érvényesíteni.
Neked persze csak a bosszankodás és az ügyintézés marad, de szerintem az sem annyira kellemes.

freemind93 2012.05.23. 11:27:34

@milliliteratura: jogos, de akkor az is fáj, ha a kártyádon lévő 54k-ból lehúznak 50-et.

a konklúzió tehát szerintem az, hogy annyi legyen a limit, amennyi nem ver téged oda, ha eltűnik 1-2 hónapra.

freemind93 2012.05.23. 11:30:56

@Papírzsepi: kereskedőnél lehet, de készpénzfelvételnél is vajon az üzemeltető lenne a felelős?

Öltönyösrabszolga · http://oltonyosrabszolga.blog.hu 2012.05.23. 11:57:28

@freemind93:
1-2 hónap? tényleg ez megy Magyarországon?

pár hónapja eltűnt a pénzem egy UK bankszámláról, felhívtam a bankban a kártya ügyosztályt, mondják igen igen, nekik is feltűnt a szokatlan vásárlási minta (nagyértékű online vásárlások, olyan helyen, ahol még sosem vásároltam) úgyhogy már le is tiltották a kártyát. A pénzt 10 percen belül jóváírták a kártyámon, majd postán kiküldtek egy listát, ahol be kellett ikszelnem, melyik tranzakció nem az enyém volt és aláírni. Ennyi. 10 perc telefonálás.

Öltönyösrabszolga · http://oltonyosrabszolga.blog.hu 2012.05.23. 12:00:46

@freemind93:
TÉnyleg ez megy magyarországon?
Nekem itt angliában egyszercsak eltűnt kb ezer fontocska, mire felhívtam a bankot és 10 perc múlva ismét a számlámon volt a pénz. Majd kiküldtek egy levelet, melyen be kellett ikszelnem melyik tranzakció nem az enyém volt és aláírni.

tehát 10 perc volt visszaszerezni a zsetont, amiről ők is látták, hogy nem én voltam, nem illett bele a vásárlási szokásaimba.

Kiszámoló · http://kiszamolo.hu/ 2012.05.23. 12:00:46

Itt ugyanez videókkal: kiszamolo.hu/bankkartyas-csalasok-ii-resz/

Amúgy jó a cikk, jól összeszedte az írója, gratula.

Kiszámoló · http://kiszamolo.hu/ 2012.05.23. 12:05:07

@Kiszámoló: ja a belinkelt cikkben a legjobb szerintem, amikor egy bolt pin padját cserélték le, ami fel sem tűnt senkinek hónapokig.

Nem csak az ATM-nél tudják ellopni a kártyád.

Az egyik videóban meg a pincérnő húzza le többféleképpen a kártyád a szemed láttára.

kts1 2012.05.23. 12:15:17

Nehezen tudom eldönteni, hogy ez a poszt most a "rossz fiúknak" vagy a potenciális áldozatoknak szól?

Amúgy jó írás!

twollah / bRoKEn hOPe, sUppLeX · http://freewaresoftwarenews.blogspot.com/ 2012.05.23. 12:26:50

A kartyamrol aprilis elejen probaltak lehuzni penzt Chicago-ban kb. hajnali fel haromkor.
En meg edesen aludtam az agyamban Pesten.

lajafix 2012.05.23. 12:33:26

@dpfancsali: hétvégén egy MOL kútnál már nekem kellett a terminálba benyomni a chipes kártyámat , nem vette át a kasszás. szóval fejlődünk.

freemind93 2012.05.23. 12:57:42

@Öltönyösrabszolga: ott picit más a bizalmi szint az ügyfél és a szolgáltató között. :)

Jofiu 2012.05.23. 13:00:52

B+. Esélyünk sincs ezt mind kivédeni, nem beszélve azokról amik nincsenek itt vagy még nem találták ki.

Mindenesetre nekem két számlám van, az egyikhez tartozó kártyát használom és figyelem, hogy annyi legyen rajta, amennyi kell, nem sokkal több. Kényelmetlen, de pénz nélkül élni nehezebb.

Mellesleg a bankom engem egy New York-i készpénzfelvétel miatt hívott, amit nem enged;lyeztek, én voltam e. Gyanús volt. Tényleg nem én voltam (mi lett volna ha tényleg én vagyok? biztos anyáztam volna. : ) ), kártyát érvénytelenítették, kaptam egy újat.

Jofiu 2012.05.23. 13:04:33

@Kiszámoló: nekem is úgy próbálták használni a kártyámat New York-ban ATM-nél, hogy előtte hónapokig nem vettem fel kp.-t.

Roy 2012.05.23. 13:10:13

Már néhány üzletben találkoztam olyannal ahol a kártyát nekem kell a terminálba betenni.
Az adatlopás ellen nagyon jó az SMS szolgáltatás a tranzakciókra (kártyaőr). A kártya használata esetén azonnal küldi az SMS-t hol mennyit vettemki, illetve hol mennyit költöttem.
Tudtommal bármelyik banknál meg lehet rendelni ezt a szolgáltatást 200 Ft ellenében, és SMS-ként 12 forintba kerül.

Jockey11 2012.05.23. 13:11:34

Mikor reggel olvastam, gondoltam magamban: akár Index-címlap is lehetne az aktualitása miatt...és lőn!

keptelen kepkeret 2012.05.23. 13:11:52

Azt honnan lehet tudni, h a kartyam chip-es e?Leven fogalmam sincs.

milliliteratura · http://milliliteratura.blog.hu/ 2012.05.23. 13:13:14

@freemind93: így van. sajnos magyarországon a döntő többség az 50-et se tudja nélkülözni. ha neked a 150 lófütty, akkor szerencsés vagy. (és lenyomozom az ip-det, hogy hozzáférhessek majd valahol a kártyádhoz :)

Jockey11 2012.05.23. 13:15:02

@keptelen kepkeret: ha igen, akkor az egyik végén van egy kb. 1.5X1 cm-es fémlapka, ami fel van osztva darabokra, és majdnem úgy néz ki, mint a telefonodban a SIM-kártya. Hogy adjunk a szakszerűségnek...

Papírzsepi · http://lemil.blog.hu 2012.05.23. 13:20:28

@kts1: Köszönöm. Sajnos a cikkbe elfelejtettem beleírni, hogy miként kell ilyen skimmert készíteni és telepíteni, valamint azt is, hogy pontosan miként védekeznek ellene a bankok (és hogyan kell megkerülni ezeket a védelmeket). Na mindegy, ezt majd a fizetős tanfolyamon mondom el...

Roy 2012.05.23. 13:35:18

@keptelen kepkeret: Van mobilod? Abban a SIM kártya csippes. Van digitális fényképezőgéped? Abban a memórikártya csippes.
Egyszóval nem egy fekete csík van a kártya hátoldalán, hanem az előlapján egy aranyszínű csip, van egy négyszögletes középpontja, és kis karocskái, kb.nyolc darab.

Zorro2007 2012.05.23. 14:23:41

Kedves papírzspi,

jó a poszt, bár van benne pár elvi tévedés!Ha valakit érdekel valamikor kirészletezem...

A csipen jóval több adat van tárolva mint a mágnescsíkon (igen a PIN is...) viszont az olvasásához mindenféle elég hosszú kulcsokra van szükség...ha nem szükséges többet nem írnék:) De aki kiváncsi nézze meg a www.emvco.com/ oldalt. Itt hivatalosan le lehet tölteni az összes specikikációt ami egy csipes tranzakcióhoz kell. Pár 1000 oldal az egész...

- A mágnescsíkos kártyák semmit sem érnek.
- Addig amíg keleten nem terjednek el a csipesek pláne nem fognak érni semmit sem.
- A csipeseket is fel lehet törni...

iszkender 2012.05.23. 14:28:55

@Papírzsepi: Sziasztok, régi olvasó, első komment.
Internetes vásárlásnál a kockázat valóban a kereskedőé. Ha azonban a kártyával vásárolnak ( a kártya jelen van - akkor is ha az klón ) ill ATM visszaélés esetében a kockázat a banké. A bank fogja benyelni a kárt.

Mikorka Kálmán okleveles duguláselhárító kisiparos 2012.05.23. 14:31:41

@Roy: Van, ahol többe kerül, van, ahol kevesebbe (például nincs üzenetenkénti díj, ez nekem jó, mert évi >500 műveletem van).

titan 2012.05.23. 15:40:42

@dpfancsali: NFC esetében valóban nem kér (asszem bizonyos összegig) PIN kódot a rendszer, ilyen megerősítés valóban nem szükséges, de egy buszon ballonkabátban hordott olvasóval nem fogod tudni megszólítani sem a kártyát, nemhogy adatokat lopni belőle, ugyanis a kártya felé az olvasónak azonosítania kell magát, ezeket a kulcsokat meg nem adja ki a bank.

milliliteratura · http://milliliteratura.blog.hu/ 2012.05.23. 15:41:22

@Papírzsepi: és hitelre is lehet majd jelentkezni a tanfolyamra?

ugyanitt várjuk jelentkezését okirathamisítási tanfolyamunkra.

milliliteratura · http://milliliteratura.blog.hu/ 2012.05.23. 15:43:58

mondjuk még tanfolyamozunk egy kicsinység, és a ballonkabátos olvasók szolgálatba is helyezik magukat :)

((vagy eljönnek a tanfolyamra, ha szar a fizu a hivatalban :))

dpfancsali 2012.05.23. 15:48:28

@titan: Nyilván volt benne némi költői túlzás, de tegyük fel, hogy nyitok egy boltot, valami csöves nevére, szépen bérlek NFC terminált, akkor már lesznek kulcsaim, és tudom magam azonosítani. Gondolom egy terminál elmegy akkumulátorról is...

Szépen lopkodok egy darabig, aztán ha nagyon forró a talaj lelépek! A rendőrség amúgy is a csövesen fogja keresni első körben az összeget...

Stb, stb... Szóval azért ha nem is ilyen egyszerű, nem elképzelhetetlen!

Titus Pullo Urbino 2012.05.23. 16:20:14

PZS, köszi, remek lett a cikk, sikerült viszont beparáznom tőle.

stoppos76 2012.05.23. 16:33:47

@Titus Pullo Urbino: Sms kártyaőrt mindenképpen érdemes intézni. Ha gond van, legalább van esélyed hamar intézkedni. Pont most szombat este kaptam egy sms-t, miközben egy haver kertjében szürcsöltem a fröccsöt, hogy sikertelen kártyahasználat lejárt kártya miatt. De legalább nem kellett intézkednem. :)

Papírzsepi · http://lemil.blog.hu 2012.05.23. 16:49:04

@Zorro2007: Ha olyan hiba van benne, ami alapvetően problémás (pl. elavult) vagy értékes kiegészítés ÉS nem jelent biztonsági kockázatot, akkor szerintem részletezd ki nyugodtan, akár hozzá is updatelem a poszthoz, ha olyan szintű.

Amit írsz, az amúgy pont úgy van.
Bár a chipkártyák feltörése nehéz ügy. Eddig nem sokat törtek meg belőlük, s azt is főleg demó céllal. Az NFC meg még komolyabb dolog, de ez messze vezet. Maradjunk annyiban, hogy a chip a _mágnescsíkhoz képest_ másolhatatlannak tekinthető.

Titus Pullo Urbino 2012.05.23. 16:49:17

@stoppos76: én inkább arra gondoltam, hogy az A hitelemet törlöm, ne mehessek mínuszba, oszt fizetésnap leemelek (ingyenesen) annyi pénzt, ami rajta van. Asszem ennél jobbat nem bírok kitalálni. Van jobb javaslat?

Papírzsepi · http://lemil.blog.hu 2012.05.23. 18:27:55

@dpfancsali: Na lássuk csak. Szóval kérsz egy terminált, mintha bolt lennél. Erre ad is egyet bank. Ez egy olvasó, amiben benne vannak az NFC olvasásához szükséges kódok. A kódok csak írhatók, és csak olvasni lehet velük a kártyát. Azt is csak pár centiről, tehát a buszon tudnod kell, hogy az áldozat mely testrészéhez szorítsd hozzá az olvasót.
Ezzel ki tudod olvasni a kártyát. És utána mi van?
Tudsz vele kezdeményezni egy tranzakciót a bank felé. Ezt a bank el is fogadja, és ha az áldozat nem reklamál, pár nap után átutalja a pénzt. De reklamál....
Vagy megpróbálhatod másolni a kártyát, de ehhez kéne egy olyan olvasó, mely írni is tud. Tehát benne vannak az íráshoz szükséges kódok. Na, ilyened tutira nincs, tehát nem tudsz a kártyáról másolatot készíteni.
Tehát akkor most hogyan tovább?

Papírzsepi · http://lemil.blog.hu 2012.05.23. 18:34:23

@kts1: @Titus Pullo Urbino: @milliliteratura:

Kedves Érdeklődők!

Sajnos jelenleg minden tanfolyami kapacitásunk foglalt, mivel még zajlik a "A konzervnyitó és a pénzszállító táska" című tanfolyamuk. Ennek vége után még be kell iktatnunk a tavalyi "Páncélautó-rablás" kurzusunk elmaradt második részét "Olajra lépés a zsákmánnyal" címen, mert reklamáció érkezett. Csak ez után tudom indítani a "Bankkártyaparty" című tanfolyamot. Addig szíves türelmüket kérjük!
Minden esetre kérem, hogy iratkozzanak fel a várólistára, melyen nevük és elérhetőségük mellett ne felejtsék el megjelölni a kívánt időpontot és a preferált BV intézetet is! :)

teddybear01 2012.05.23. 20:09:24

@Papírzsepi: Nem így szokás, hanem beállnak már üzemelő, nagy forgalmú pénztárba, kezelőnek.

Aztán egyszer a pénztárnak rántják le, egyszer meg csakúgy. Tízezrével belefér egy akármilyen memóriakártyába, és minimális a kockázat. Annak idején az M'-es Győr-Hegyeshalom közötti fizetős szakaszon rebesgették hogy az adathalászok begyűjteni járnak.

johnibyg 2012.05.23. 21:45:20

A hamis ATM-es sztori hatalmas XD
Ugyan nem szerezhettek sok pénzt, de le tudták alaposan tesztelni a rendszert későbbre...

Zorro2007 2012.05.23. 23:51:03

Az egyszerübbek:

"A mágnescsík tárolja a tulajdonos nevét,"

helyesen

"A mágnescsík(TR1) tárolhatja a tulajdonos nevét - nálunk gyakori, de nem kötelezö-"

"Nem tárolódik viszont a PIN kód, és az ügyfél számlaszáma. "

helyesen

"Egy csipen több adat tárolódik mint egy mágnescsíkon. (természetesen a PIN is, de nem visszafejthetö módon, vagy pl. az egész mágnescsík -> "Track 2 Equivalent Data", az megint más kérdés, hogy sok bank nem használja az offline pin ellenörzést, pedig semmivel sem rosszabb mint az online.)"

"Ez azért van, mert az automata számítógépe ismeri a mozgásokat, így korrigálni tudja az olvasott jeláradatot."

ez így nem helyes, mert:

Az ATM nek ehhez semmi köze, a kártyaolvasónak egy soros/usb portja van. Utasításra pl. küldi a kártya adatait. A fej eléggé hátul van ugyhogy nem kell semmit sem korrigálni...

Az esettanulmányokról inkább nem írnék:) Viszont a legtöbb ATM-ben már van Antiskimming (lásd google) modul, amivel a rá/beépített kütyüket automatikusan felismeri és üzemen kívülre áll. Tehát müszakilag -olcsón és biztonságosan -lehetséges az ilyen támadásokat is kivédeni. Minnél több ilyen támadás lesz annál hamarabb bevezetik minden ATM-en...pénz,pénz,pénz

Természetesen a chipes kártyát sokkal nehezebben lehet feltörni, addig amíg ilyen sok mágnescsíkos kártya van nem éri meg vele szórakozni.

Az NFC semmivel sem biztonságosabb mint egy chipes tranzakzió, söt...mivel rádióhullámokon keresztül müködik, pl egy kis antennával már rögtön logolni lehet az egész kommunikációt. Egy chipes kártyánal egy ATM-en ez eléggé nehéz:). Aki a buszon akar NFC kártyákat leolvasni annak max kb. 2cm-re kell lennie a kártyától és online kapcsolatban kell lennie a bankkal...ugyhogy kuka az ötlet:).

Akit érdekel, az interneten mindent legálisan meg lehet találni a chipes tranzakciókról (pl. "Mastercard EMV", lásd google és a link amit írtam.) érdemes beleolvasni, jó kis iromány:)

Papírzsepi · http://lemil.blog.hu 2012.05.24. 07:22:01

@Zorro2007: Kösz a kiegészítéseket, hasznos volt.
Az ATM is egy sztenderd számítógép, az olvasó valóban külön (soros vonali) cucc. Valóban van, ahol az olvasó fej hátul van, így a kártya rángatása nem zavar semmit. De van, ahol elölre került, ott korrigálni kell. Igaz, ez utóbbi kevésbé gyakori, és általában véve a kártyarángatás is ritka.
Az anti-skimming eszközökről meg megoszlik a bankbiztonsági szakemberek véleménye. Van, aki szerint simán csak megfizethetetlenül drágák, és van, aki szerint még csak nem is működnek megbízhatóan. Emellett gond beépíteni az automatákba a szűk hely miatt. Amelyeket mi próbáltunk, azok pont semmit sem értek (és ugye eleve azért próbálkoztunk, mert más is így találta).
Szóval annyira nem jó a helyzet. (Meg ugye a bank is csak akkor ruház be bármibe is, ha már a veszteség túl nagy - addig minek. Szóval a "majdnem minden ATM-ben" kicsit túlzás - legalábbis itthon).

VT Man 2012.05.24. 08:48:00

@Roy:
"A kártya használata esetén azonnal küldi az SMS-t hol mennyit vettemki, illetve hol mennyit költöttem.
Tudtommal bármelyik banknál meg lehet rendelni ezt a szolgáltatást 200 Ft ellenében, és SMS-ként 12 forintba kerül. "

Na, ezt rosszul tudod, mert a CIB-nél havi 50 Forint, és 0 Ft/SMS.

De sajnos nem sokáig, mert emelni fogják az SMS díjat.

Roy 2012.05.24. 13:16:03

@VT Man: nem azt írtam hol mennyi, hanem nekem mennyi. Lenet, hogy félreérthető volt. Természetesen bankoknál eltérő lehet.

Zorro2007 2012.05.24. 13:48:17

"Az anti-skimming eszközökről meg megoszlik a bankbiztonsági szakemberek véleménye. Van, aki szerint simán csak megfizethetetlenül drágák, és van, aki szerint még csak nem is működnek megbízhatóan. Emellett gond beépíteni az automatákba a szűk hely miatt. "

Ezzel azért vitatkoznék:
- Van olyan gyártó aki már több éve alapból olyan kártyaolvasóval szállítja ki az ATM-et amiben benne van az AntiSkimming szenzor. Az más kérdés, hogy nincs szoftveresen bekapcsolva...
- Egy ATM árához/forgalmához képest elenyészö az Antiskimming modul ára ha meg gyárilag úgy szállítják akkor meg ingyenes, lásd fenn:)
-Szük hely probléma számomra nem ismert. Van ott hely böven.
-Melyik tipust próbáltátok(antenna az elötétben, mágneses erötér változása vagy optikai)? Amiket mi használunk azok eléggé megbízhatóan jeleznek.

Papírzsepi · http://lemil.blog.hu 2012.05.25. 09:13:42

@Zorro2007:
A fő gond a mi esetünkben, hogy a banknak már van telepítve ezernyi automatája, melyek mind védtelenek. Utólag viszont rettentően drága ezeket a gyári megoldásokkal felszerelni. Van, amikor nem is lehet. És a bank nem az automata árához/forgalmához mér, hanem a megakadályozott veszteségekhez. Ha évente bukik mondjuk tízszer 150 ezret, akkor az évi másfél milla veszteség. 1000 automata felszerelése anti-skimming eszközökkel pedig mondjuk 100 milla.
Az ATM-ek nyilván nincsenek kitömve, de speciel az olvasó körül nem sok hely van. Főleg a kisméretű automatáknál.
Mi kapacitív érzékelőkkel játszottunk, valamint a skimmer fejet zavaró induktív megoldással. Az optikai akkor mondott csődöt, mikor azt is lemásolták (ez a bankosok mesélték, én nem láttam).
De asszem, ez már túl messzire vezet, kezd off-topic lenni, és amúgy is: akkor mi marad a fizetős tanfolyamomra? :)

stoppos76 2012.05.25. 10:41:57

@Titus Pullo Urbino: Hó elején leemeled a pénzt, ami kell, azzal csak azt éred el, hogy senki nem adja vissza, ha ellopják, vagy kirabolják a lakást.

Hó elején összeg nagyrésze netbankon keresztül 7 napos ismétlődő lekötésre berak, majd minden héten annyit felbont, amennyi a hétre kell. Vagy tényleg minimálisra csökkenteni a napi limitet és egy telefont megengedni a bank fele, ha több kell, ahogy már mondta itt valaki.

hazitroll 2012.05.25. 12:52:25

@stoppos76: Vagy a várhatóan szükséges pénzed a számládon tartod, a lekötéseid, tartalékaid egy másik számlára utalod, amihez nem tartozik kártya.
Arról van adat egyébként, hogy mennyi készpénzlopás történik nagyságrendileg (összegben) és mennyi bankkártyás lopás? Felteszem, előbbiből kevesebbet jelentenek be... Minden fenti esettel együtt is azt gondolom, hogy az elektronikus pénzforgalom biztonságosabb, legalábbis a bankok, kártyakibocsátók adnak egy olyan védőhálót, amit a készpénzhasználat nem. Ha azt elvesztem/ellopják, akkor vége.

hazitroll 2012.05.25. 12:55:06

@VT Man: Én nem szeretem az SMS-t, idegesít. Bár most van, de attól még nem bírom megszokni. Viszont egy korábbi kártyámon meg nem volt, ott meg egyszer a bank hívott, hogy olyan irányú tranzakció volt, olyan pénznemben, ami eddig sosem, biztosan akarom én azt? Ez annyira tetszett, hogy leírom a nevüket: Citibank. Egyébként ők elég sok bankkártyaadat-lopásos buliban a szopott testrész rosszabbik végén voltak az elmúlt években.

sirdavegd · http://midnight-rider.blog.hu/ 2012.05.26. 13:46:52

Nyamiiii. Eddig én is a napi limit + sms értesítés + kártyamentes alszámla szentháromságban hittem, illetve a C*B ATM-ek rezgős módoban veszik el a kártyát. Továbbá csak ismert (jól preparált :D ) ATM-ból szoktam pénzt kivenni. Kivéve, amikor külföldön vagyok, mert akkor is megy a kártyázás ezerrel. Japánban mondjuk most nem mertem megjátszani, mert a 110V-60Hz áram mellett itt még a GSM szabványt és az úttestten történő helyes haladás irányát se ismerik. Szóval a bank még fel se tudna hívni, mielőtt letilt, én meg ugyancsak nem tudnám, hogy mi történt.
Svájcban viszont frankó kis fix POS terminálok vannak - kártyát az ügyfelé kezéből felszív-kiköp, a tetején kell beírni a pin kódot. A billentyűzet pedig sokkal finomabb, mint a hazai, agyongyötört gumik, amiket lassan már kalapáccsal kell ütni, hogy bevegye a 4 darab számot. Továbbá a késleltetési idő ott már minimális - bár mintha már mi is kikerültünk volna az elmúlt 1-2 évben a 18 másodperces siralomvölgyből.

watler · http://gegek.blog.hu 2012.05.26. 21:45:45

Nagyszerű bejegyzés, gratulálok. Bár tuti tényleg kedve támad a rossz-fiúknak tőle. Én most már figyelni fogok, hová dugom be...

szs. · http://martinluther.blog.hu 2012.05.29. 17:27:48

Megnéztem ma alaposan egy automatát és találtam rajta egy fülhallgatónak való 3.5mm-es jack aljzatot, vagy mi a neve, a kártyanyílás fölötti olyan tíz centivel. Közelről megnézve sem tűnt álcázott kamerának. Ilyen miért van egy automatán, lehet rajta zenét hallgatni pénzkivét közben?

Zorro2007 2012.05.29. 22:18:24

@szs.: A vakok/gyengénlátók dughatják be a fülhallgatót és azzal ( pl. nyomja meg az 1-es gomot a pénzfelvétre stb.stb. )kezelhetik az Atm-t.
Természetesen csak akkor ha ezt támogatja a program.

Zorro2007 2012.05.29. 22:26:37

@Papírzsepi: ha offtopic akkor ne beszélgessünk róla:) Csak akkor helyes dolgokat írj!
Bár "...skimmer fejet zavaró induktív..." -ra kiváncsi lennék.

Milyen fizetős tanfolyam?

Papírzsepi · http://lemil.blog.hu 2012.05.30. 08:42:29

@Zorro2007: Igyexem helyes dolgokat írni, ha nem sikerül, akkor meg ott vannak a kommentek...
Az az induktív kütyü a kártyanyílásnál helyezendő el. Arra épít, hogy a skimmer olvasófejnek elég jól meghatározott helyen kell lennie, tehát némi mágneses teret odaküldve a jel/zaj viszonya kellően elrontható. Jól hangzik, de a gond az, hogy először is nem volt elég hely a beépítéshez. Másodszor (és főleg) meg elég pontosan kell eltalálni a mágneses tér erejét, különben gond lehet - és ezt nem igazán sikerült jól belőnünk.

A tanfolyamról meg olvass kicsit vissza ("Kedves Érdeklődők!"). :)

[Ez egy rendvédelmi blog, ezért nem akarnék elektronikai részletekbe belemászni. PM-ben folytathatjuk, ha gondolod, én is kíváncsi vagyok a tapasztalataitokra.]

Zorro2007 2012.05.30. 09:19:39

@Papírzsepi:
Biztos vagy benne, hogy így müködik?:)
Honnan tudja az az induktív kütyü, hogy mikor kell a mágneses teret bekapcsolni?A sima mágnescsíkot miért nem rontja el?

Papírzsepi · http://lemil.blog.hu 2012.05.30. 09:26:20

@Zorro2007: Hát ez az... meg miért nem zavarja a normál olvasófejet....
Lehet amúgy induktívan érzékelni is a parazita fejet, mondjuk rezgőkör-elhangolással, vagy egyszerűen, csak mint fémet. De ez is olyan, mint a kutya vacsorája.
A leggyakoribb talán a kapacitív elvű érzékelő, de utólagos beépítésre (ha az automatának nincs gyári védelmi megoldása) ez is problémásnak bizonyult.
Ezer problémába ütköztünk, melyek jelentős része egyébként nem is technikai jellegű (hanem inkább érdekeltségi).

tucano 2012.06.04. 04:22:36

@Papírzsepi: A másik blogról jártam erre:) bocsánat, hogy ritkán vagyok, de ez nagyon érdekes téma. Tolvajok ne olvassák a következőt, legyenek szívesek.
Szóval, ha tolvaj oldalról nézi az ember, akkor a legegyszerűbb dolog eleve megvásárolni a lopott adatokat és nem kell szórakozni az egésszel, csak lehúzni a pénzt, itt van róla némi bővebb, bár már 2002-ben írtak is róla magyart nyelven, itt egy cikksor ilyenek vásárlásáról:
www.kulfoldibankszamla.info/hirek/online-feketepiacok-illegalis-aruk-vasarlasa-nevtelenul-az-interneten-bevezetes.kulfoldibankszamla

De a legegyszerűbb a facebook csel, csak kicsit munkás. Ki kell szemelni néhány gazdag embert és barátkozni velük a fácsén. Aztán ha beengedtek, akkor az ott talált infók alapján lehet kezdeni a sakkozást az online banki felületükkel. Ennél csak icipicit bonyolultabb a dolog, de ne innen adjunk már tanácsokat:)Volt egy teszt 20 alanyból 9-ek törték fel a számláját 2 nap alatt, azért ez nagyon jó (illetve persze szörnyű rossz) arány. Semmi technikai tudás, csak az emberi butaság, mint mindig.

Papírzsepi · http://lemil.blog.hu 2012.06.04. 08:55:26

@tucano: hát igen: a fészbúk egy óriási biztonsági kockázat, aminek a kihasználása még mindig gyerekcipőben jár. Attól tartok, hogy a következő pár évben itt el fog szabadulni a pokol (személyiséglopás, kapcsolatrendszer-háló alapján zsarolás, szisztematikus betörés, és még ki tudja, mi).
Mindemellett az online-bankos felületek ma jellemzően eléggé védettek, de pl. az usában ez nem feltétlen igaz.
Ami viszont tuti és örök érvényű: Ember, te vagy a leggyengébb láncszem! Viszlát!

Öcsielvtárs 2012.06.04. 14:08:29

@Papírzsepi: Sziasztok!

Összesen 2 kereskedelmi banknál nem történt adatszerzés ebben az évben. A megelőzés elsősorban pénz kérdése, és valóban csak az számít, hogy mennyi a - várható - veszteség, illetve mennyit költünk védelemre. ( minden ATM mellett állhatna vagyonőr is 24 órában... ) A védelem mindig két irányú: a másolást és a PIN megszerzését kell meggátolni. Bármelyik sikeres, az adatszerzés lesz sikertelen. Mi is - igen "olyan" helyen dolgozom - igyekszünk hatékony védelmi rendszert kiépíteni, ráadásul szó nincsen extra dolgokról, ( pl. a legtöbb bank elkezdte leszerelni a 24 órás zónát nyitó szerkezetet, csak egy gombot kell megnyomni a bejutáshoz ) de ezt sajnos csak a fizetős tanfolyam keretében tudom részletezni :-) A lényeg, hogy 1-2 éve még azonnal klónozták a kártyát az elkövetők, és a másolás után 2 órával már kp.-t vettek fel azzal. Most összegyűjtik - akár hónapokig is - amegszerzett adatokat, és azokkal egyszerre követnek el visszaélést. Pár madarat azért így megfogattunk a rendőrökkel ...

Deviáns szinglibolsilibsibibsi 2012.07.13. 10:58:48

Annyit hozzátennék, hogy semmilyen informatikai módosítással nem lehet "rögzíttetni" az ATM-mel a PIN kódot. Az ugyanis nem hagyja el a billentyűzetet, ami már önmagában egy különálló masina. A billentyűzettől a gépig, aztán onnan kesze-kusza útvonalakon az engedélyező bankig csak egy PIN-blokknak nevezett, a PIN kódot még kódolt formában _sem_ tartalmazó bithalom megy.

folti_ 2012.07.18. 16:30:45

Bár nem szigorúan bankkártya, de autómata és annak tartozékai téma: index.hu/belfold/2012/07/18/ki_ismeri_fel/