Сегодня прочитал очень интересную статью и не смог не поделиться с вами ею. Считаю, что будет она полезна для всех нас. Комментировать ничего не буду, ибо автор сам обо всём написал. Статью скопипэстил с www.nnm.ru
Верни мои деньги, банкомат! Бывает такое, что привычная, казалось бы, вещь, встречается с такой изюминкой, после которой начинаешь смотреть на эту вещь совершенно иначе. Так случилось и у меня… пару лет снимал деньги с карточки в сотне мест и бед не знал… а тут приехал в один городок и в первом же банкомате мне повстречалась эта самая изюминка. Причем место и обстоятельство были такими, что за пару мгновений пищи для размышления и впечатлений накопилось недели на две вперед.
Я почему-то думал, что это может быть только в стране вечнозеленых президентов, а у нас - просто нет кадров, чтобы заниматься этим. Оказывается, я глубоко ошибался. Просто не каждый день встретишь то, про что читал только в журналах/интернете или видел в фильмах [ кстати, не помню ни одного фильма, где бы фигурировал скиммер :) ].
Что такое скиммер? Если сделать запрос в яндексе, то из первых строк станет ясно, что это какой-то насос для очистки бассейнов. Но сами посудите - насос и банкомат… что-то не то. Хотя, насосом качать бабки из банкомата - вполне )
Не вдаваясь в историю происхождения названия, скиммер - это небольшое устройство, которое может помочь злоумышленникам воспользоваться Вашей пластиковой карточкой.
Те, кто в теме, сейчас наверное читают и хихикают над моей трактовкой, но это первая трактовка, что пришла мне в голову.
Скиммер обычно состоит из двух элементов - накладной клавиатуры (пин-пад) и сканера магнитной ленты карты.
Пин-пад аккурат размещается поверх родной клавиатуры банкомата и позволяет злоумышленникам узнать Ваш пин-код (для этого так же может использоваться миниатюрная камера), сканер же вешается поверх щели приема карт. Причем, маскировка делает свое грязное дело.
Вы вставляете карточку в банкомат (не подозревая, что вставляете ее в сканер карт злоумышленников, после которого карточка попадает в нужную Вам щель банкомата) - вуаля, данные о вашей карте (дамп) уже либо на устройстве хранения данных в сканере, либо по беспроводному интерфейсу уже переданы кому-то. Дальше Вы вводите пин-код, который так же либо сохраняется, либо сразу отправляется. Все, для того чтобы пользоваться вашими деньгами, остается всего лишь изготовить дубликат карты, что делается, судя по всему, достаточно легко - используя дамп, программируется безликий кусок пластика и готово.
Кстати, гораздо хуже, если никакого накладной клавиатуры на устройстве приема карт банкомата нет или просто кто-то палит, как вы вводите пин-код. Еще хуже, если при этом вы вышли из своего намытого до зеркального блеска Audi Q7 (99, третий бумер, лансер - нужное подчеркнуть), в мажорной дубленке, с гарнитурой, но без каски. В таком случае есть все шансы тупо получить чем-то тяжелым по голове и с таким же успехом отдать деньги с карточки. Но этот случай не так интересен - гоп-стоп был везде и всегда.
Несмотря на то, что всегда смотрю на банкомат, прежде чем вставить карту, в тот раз я ее вставил. Были не одни, было не до банкомата. Хотел было вводить пин-код, как заметил, что клавиатура не плоская, а выпуклая, как быть не должно. Сравнив быстро пальцем фактуру клавы и банкомата, мысленно пытаюсь убедить себя, что все ок. Через секунду говорю друзьям:
- Блин, походу скиммер.
Замерли. Поддеваю ногтем клавиатуру… сначала вошел ноготок, потом палец…сплошной секс ). Когда я понял, что клава отходит, я решил, что сломал банкомат и что под кнопками ничего не будет, а я тупо приклею ее обратно и сниму деньги.
Подняв клаву, мы обомлели - там была точная копия нашей клавы, только идеально ровно встроенная в поверхность банкомата.
- Ё-маё, Бурумыч, скиммер! Скиммер, мать его! О Боги, я первый раз такое вижу, поверни, дай сфоткаю!
- Да, тоже первый раз вижу. Только мой дамп уже там, а должен быть чей-нибудь ваш )
Перевожу взгляд на картоприемник - уже ничего не соображая, пытаюсь вытащить карту. Ничего не выходит. Вспоминаю про кнопку «Отмена», жму - карта вылазит. Хух.
Поддевая ногтями выпирающий картоприемник, он так же отходит - от чего жути только прибавилось. Пару секунд рассматриваем устройство - горят какие-то лампочки, батарейка, аккуратная пайка… да, видно, что этим вопросом занимаются серьезно. Еще через мгновение нас всех одновременно посещает мысль, что больше нам находиться тут не стоит )
Дальше все как в фильме ) Менты пообещали прибыть в течение часа, что в нашем случае, естественно, нам уже не делало никакой погоды. Скиммер мирным путем вернулся законным владельцам ) А мы, понимая, что ходим под Богом, телепортировались.
В общем, примерно такие были эмоции при первом знакомстве. Что же за пищу для размышлений мы тогда получили?
Во-первых, это было первое практическое занятие - узнали как выглядит, что из себя представляет, кем и как охраняется. Весь текст дальше - догадки.
Из недостоверных источников, цена за комплект устройства подобного типа (сами железки, программное обеспечение и т.п.) стоит порядка 3-5 тысяч долларов (несмотря на то, что ничего сверхъестественного там нет), что уже как минимум является причиной не оставлять девайс без присмотра. Цена зависит от конструкции и от комплектации. Что-то может автономно долго работать, что-то хранить дампы у себя на карте памяти, что-то - сразу передает информацию владельцам (экзотика).
Цитата с какого-то сайта: «Информация о скиммерах появлялась в новостях уже не раз, но устройства совершенствуются с каждым днем. На этот раз скиммеру уже не нужно подходить к банкомату, чтобы снять информацию - она высылается через СМС. Устройство может отправить до 1856 СМС на одной подзарядке. Стоит 8,5 тыс долларов. Причем краска для внешних деталей покупается на тех же заводах, что и производители банкоматов, учитывается температура, угол наклона, время покраски. На первый взгляд отличить практически невозможно.
Единственное НО… Если сотрудники банка оперативно среагируют и отследят сим-карту злоумышленника, то поймать его, возможно, будет и проще…»
Следовательно, где-то в пределах прямой видимости точно кто-то есть, даже если Вы его не видите. Зато видят Вас, например, из тонированной девятки через дорогу ;) Так как работа наблюдающего, по сути - охрана объекта, то я почти уверен, что и пропорции у него - как у достойного охранника ;)
Если Вы считаете, что обдурили всех, отодрав скиммер и убежав - не спешите радоваться. Могут по дампу найти, могли и паспорт выронить - всякое бывает ;) зато потом хэппи энда может не случиться. Так что подумайте, стоит ли вообще связываться - может проще снять деньги в другом месте?
Дальше можно поразмышлять о местах обитания скиммеров. Понятное дело, что идеальное место - там, где больше народу, причем не студентов со стипендиями, а нормального такого народу. Думаю, скиммер вы сможете встретить у вокзалов, аэропортов, казино, кафешек, кино, магазинов техники и прочих горбушек - одним словом в местах, где людям требуется снимать побольше денег.
Побродив пару часов по совку и горбушке, пройдя пару вокзалов - я так ничего интересного и не нашел. Отсюда, снова напрашивается вывод, что устройства находятся на своих местах не всегда.
Предполагаю, что сначала дядьки выясняют, в каком режиме обслуживается рыбное место - в какие дни и в какое время приезжают инкассаторы загрузить деньги, во сколько они проезжают и так далее. Т.к. инкассаторы наверняка каждый раз разные, то надеяться на их гуманность к скиммеру злоумышленнику не стоит. Поэтому, вероятно, скиммеры приклеивают и снимают по несколько раз на дню.
Но отсюда опять что-то да вытекает. Даже у самого одинокого банкомата обычно стоят камеры, за которыми кто-то да должен наблюдать из служб безопасности. А про банкоматы в отделениях банка я вообще не говорю. Таким образом, я не поверю, что каждый раз, вешая девайс на банкомат, этого никто не замечают и ничего не предпринимают. Да, злоумышленник может на пару секунд прикрыть собой камеру, успев сделать свое дело… но это же должно происходить несколько раз на дню!?! Думаю, даже постоянно вешать устройство и не надо - достаточно пару часов повисеть в один из вечеров праздничного дня.
Какой отсюда же напрашивается вывод? А такой, что все об этом прекрасно знают. И если девочка на ресепшене должна просто закрывать на это глаза, то владельцы банков наверняка живут не только на проценты вкладчиков =) иначе смысла разводить такую кормушку у себя под носом у них нет. Таким образом, еще раз доказывается отношение банковской сферы к обычному пользователю, честному, порой, человеку. А жаль )
Как-то зайдя в банк, на входе мне встретился охранник, который выходил покурить. Недолго думая, я решил поговорить с ним - вот такой у нас вышел диалог:
- Здравствуйте, хотел задать пару вопросов по безопасности банкоматов.
- Попробуй.
(в лоб) - Вы в курсе, что такое скиммер?
- Мм, слышал, а что?
- Недавно первый раз встретил такое устройство - обнаружил его только тогда, когда карточку уже вставил, но код не ввел. Могут ли, не зная пин-кода, расплачиваться от моего имени, например в интернете или простых магазинах?
- Вот это, честно, сказать, не знаю. Но береженого бог бережет - зайди, вон, да поменяй код, это 10 минут займет. А где встретил штуковину-то?
- Там-то. Но, честно сказать, был удивлен - думал, что такое только в штатах, а пишут про них только в журналах.
- Хех…в штатах =) ты же в России живешь. Пока американцы что-то придумывают, у нас уже сделают «анти». У них вирусы, у нас уже антивирусы и наоборот. Так что в стране желания грести деньги, ничего не делая, таких устройств не может не быть.
- Даже так! И много у нас… по Москве?
- Да хватает. Ты вот где живешь?
- Там-то
- Ну… недалеко от меня. Поискать - найдешь ;)
- Интересно. И чего ж с ними никто не борется?
- Да как не борются… борются. Просто раз они есть, значит это кому-то надо.
- Верно, нет дыма без огня. А как начальство банков к этому относится, они в курсе?
(Взбодрившись) - Конечно! )
- Вах. Т.е, получается, что не убирают хотя бы только потому, что начальству это тоже выгодно?
(Улыбаясь) - Ну… всяко бывает. А тебе это вообще все зачем?
- Да вот, столкнулся случайно, хотел узнать.
- Смотри, осторожней. У вас вот есть какое-нибудь правоведение в институте?
- Нет, но что-то подобное было.
- И что, не учили, какие вопросы и кому можно задавать, а кому какие - нет?
- Не учили, но я к вам исключительно в мирных целях ;)
- Да понятно. Просто иногда, задав безопасный, казалось бы, вопрос, можно вызывать неадекватную реакцию. То же самое и с поведением. Знал вот, что по банкомату стучать нельзя?
- Неа, а что, в ответ бьёт? ;)
- Нет. Но это уже может попасть под порчу имущества. Так у нас на днях зашел один пьяный, стукнул - приехал фургон, скрутили и забрали. Там же датчиков полно внутри… и пойди докажи, что ты его не взломать хотел.
- Серьезно у вас тут. Ладно, давайте вернемся. Расскажите что-нибудь про их устройство, как крепят, как обслуживают?
- Ну а чего тут рассказывать. Как устроены, не знаю точно, но обнаружить не так уж сложно. Это бабулькам 80-летним, которых государство все это время нае*ывало, уже не понять этих приколов, а ты если видишь, что что-то торчит - не суй и все, сними в другом месте.
- А если оторвут и смотаются?
- Ну оторви =) Сам понимаешь, такие вещи не без присмотра… не сразу, так потом где-то найдут. Похлопают по плечу, сам не заметишь.
- Интересно… и что, совсем никому нет дела до этого всего?
- Ну почему… бывают, иногда, показательные выступления - проезжают спецы, всем, кому надо пальцы загнут для галочки… а потом снова все на свои места встает.
- А у вас тут было чего интересного?
- Неа, это больше на банкоматах без банков, хотя всякое бывает.
- А, ну у вас-то тут банк вон, да…
- Максимум бывало, что деньги выхватят… но это ведь опять, чья ошибка? Вон, глянь… вышел с пачкой денег… чего вот не спрятать сразу, не убрать? Пересчитать же потом можно… или пин-коды вводят, не закрываясь… а подсмотреть тысячей способов можно. А потом жалуются…
- Где ж ваш автомат-то? ;)
(улыбаясь) - Да я вон, на танке сегодня. Далеко не убегут, если что ;) Ладно, давай, не май месяц, пойду. Мотай на ус.
- Успехов, благодарю!
В общем, вот такой диалог вышел, но конкретики почти никакой. Позже случайно мне удалось найти в сети человека в теме, которого повторно найти никак не удастся ) Я не занял у него много времени, но все же, немного информации, опять же подтверждающей мои догадки, появилось:
Я: Какие бывают по типам (способ хранения, способ передачи, питания)? Какие бывают по размерам? Какие примерно цены и от чего зависят? Откуда берутся - делают ли их серийно?
Он: Каждое устройство индивидуально по сути - затачивается под конкретный АТМ, т.к. основное требуемое свойство - незаметность. Серийно их никто не делает, т.к. это все же уголовно наказуемое деяние, но это не значит, что их все делают вручную. Цена на скиммер «под ключ» - от 5000 и выше. В основном это автономные устройства со встроенной памятью - «поставил, подождал, снял», вариантов с передачей данных у меня не было, но очевидно, что это гораздо безопаснее для владельцев.
// Тут собеседник не рассказал про размеры девайсов, но я нашел пару интересных изображений в интернете. Да-да, даже такая вот «зажигалка» (правильнее, «Кубик») в руке человека рядом с Вами в состоянии утянуть Ваше состояние.
Я: Как их крепят? Бывает тупо поверх клавы и щели. Но слышал, что чаще просто ставят камеры. Может еще что-то придумали?
Он: Все верно - в простых моделях крепится только на картоприемник + камера для снятия пинкода. Способов крепления камеры достаточно много.
// Окинув взглядом фотку банкомата, прикидываю, куда можно было бы спрятать камеру. Если это не «дополнительная» камера в банке, которая выглядит как настоящая, то вариантов остается не так много. Если человек высокий ростом, то камеру можно приклеить к верхней части АТМ, выпирающей над клавой - просто так их не увидишь, но слегка нагнувшись - легко. Или же можно повесить свою «лампу» для освещения, в прозрачный пластик которой спрятать «зёрнышко» от камеры (видели, каких размеров камеры в некоторых видео-домофонах? “.” - чуть больше этой точки)
Или вот как на фотке из инета - в коробочке для рекламок, изначально награжденной только информационной функцией.
Ну или ваш код могут тупо подсмотреть рядом стоящие люди ;) Поэтому зеркала на банкоматы клеят неспроста. Заботящиеся о клиентах банки на свои АТМ так же ставят специальные «заборы» на клавиатуру, которые помогают не палить код.
Я: Где чаще всего бывают - в закрытых или открытых банкоматах? Может какие-то банкоматы или банки особенно безответственно относятся к этому, а какие-то - дорожат клиентами? Излюбленные места обитания? Где больше - в Москве или Питере?
Он: Предпочтительнее открытые банкоматы. Чем больше проходимость народа - тем лучше. Насчет банков - хз. Любой фрикер тебе этого не скажет или заведомо «поменяет» нужные названия банков местам ;) Следят, конечно, все, но говорить о том что их АТМ заскиммили не будет никто. Где больше - имхо, в Питере. Но и в Москве, конечно, тоже хватает.
Снова я: Еще немного по ценам - купить можно только в инете или в супермаркетах тоже продаются? ;) Что в этом случае меняется? Что делать человеку, если он снял скиммер? )
Он: Готовый комплект, купленный на Митино или еще где - в 99% окажется нерабочим или уже использованным, и то, трудно найти то, что тебе надо. В интернете народ гораздо охотнее идет на контакт, но точно так же можно купить не то или же по завышенной цене. Цена, опять же, под заказ - от 5000. Если удалось снять скиммер - дело за малым - слить оттуда инфу и продать ее кардерам. Или дропам. Самому сливать денежный эквивалент - равноценно явке с повинной в органы.
// Хм, что-то опять эта цифра в 5K usd ;) На форумах же предложения совершенно разнятся - от 1К до 15.
Я: Кто вообще этим занимаются - ведь не просто пионеры-радиотехники? Как их устанавливают - под камерой банкомата каждый день ставят с утра и снимают перед приездом инкассаторов? Или даже они не помеха? )
Он: Кто занимается? Умные и осторожные фрикеры (не путать с фриками - моё прим.). Самый распространенный способ установки - после приезда и отъезда инкассаторской группы, через 5-10 минут «группа» возвращается. и опять уезжает. Схема приемлема для ОПГ, которые могут позволить имитировать спецодежду мастеров. Более простой вариант - установка на вечер-ночь, т.е. людей мало, инкасса не приедет гарантированно до утра (время приезда вычисляется простым наблюдением), но и безопасность выше. Еще устанавливают и снимают скиммеры обычно «шумной группой студентов», т.е. толпа окружает банкомат («блокирует лохов»), ставится скиммер… ну и варианты по фантазии…
Я: Хочется каких-то цифр ) Их риск хотя бы оправдан - насколько прибыльная такяа рыбалка? Или если не в баксах, то хотя бы в количестве дампов. Как часто тырят скиммеры? )
Он: Цена свободы у каждого разная, кто-то рискует, кто-то нет. Но не всегда же обязательно все делать самому ;) не обижай с % и все будет. Количество дампов = количеству карт вставленных в АТМ. Улов - никто никогда не говорил конкретных цифр. Но окупается не только аппарат, но и хватает на новый. Может слышал песню «В ресторане обеды, в доме нету соседей, а БВМ 7-ой серии - удачнее велосипеда» :)
Я: Слышал ;) А что вообще делают с дампами, каков их дальнейший путь? Нужно ли человеку менять пин-код, если он только вставил карту, но не ввел код? Как быстро дамп попадает «в темные руки» и сколько у человека есть времени на спасение бабосов? Дальше делают копию карточки или что вообще можно сделать, имея дамп со снятым пином? Как долго занимает расшифровка или это дело 5 секунд?
Он: см выше - их сливают кардерам или дропам. У кого какие контакты есть. Если пин не введен - менять его не нужно. Дамп попадает в руки дропов обычно через сутки-двое после снятия скиммера. Но если «операция» прошла успешно, человек узнает о том что с его счета ушли деньги только по смс-банкингу или при следующей проверке карты. Расшифровать что? Дамп? Дамп не расшифровывают. Его просто клонируют. Да, у дропов есть аппараты по клонированию карт (тоже дорогое удовольствие).
Уже не так все двусмысленно, как в первом диалоге, но тем не менее, картина все четче рисуется. Дали бы мне рукописи Да-Винчи, я бы их в миг разгадал ;)
Полазив в инете по различным форумам, был удивлен тому, сколько же информации в свободном доступе. Схемы, распайки, прошивки, мануалы, пошаговые инструкции и помимо этого, самое главное - люди, обладающие самым ценным - знаниями, информацией.
Схема считывающей головки сканера
Схема GSM-скиммера
Просто так, естественно, никто ничего не расскажет ) Мне даже двусмысленно не решились что-то рассказать, это же их хлеб. С другой стороны - всех денег не обналичить, а кто-то в нашей стране до сих пор зарабатывает честно. Так и получается - с одного конца провода - люди, боящиеся погонов, с другого - люди, боящиеся потерять деньги. И все же, не стоит забывать, что кто-то еще да работает честно.
Какие из этого делать выводы, каждый для себя делает сам ;) Для тех же, кому лень додумать, дам пару советов, которые помогут не потерять бездарно последние купоны на карточке:
1. Прежде чем подойти к банкомату, оглянитесь. Пьяны, заметили что-то странное-подозрительное - отложите съем до лучших времен. Не паранойи ради, безопасности для - оглядывайтесь по сторонам так же, как и при переходе через дорогу.
2. Вы должны четко знать, как выглядит банкомат Вашего банка (если не снимаете деньги с комиссией со всего подряд). В большинстве своем они имеют: НЕвыпирающую из ровной плоскости клавиатуру, плоскую или вдавленную щель приемника карт. Если видите, что клавиатура выпирает хотя бы на пару миллиметров или картоприемник торчит наружу - снимите деньги в другом месте. Если надумаете проявить отвагу и решите позвонить, неважно, куда - в 02 или в службу банка - делайте это не у банкомата!
3. Вставив карточку не спешите вводить пин-код - осмотритесь еще раз =) Ни-че-го нестандартного на банкомате быть не должно. Если кто-то рядом стоит, вводите код так, чтобы его не увидели.
4. Сняв деньги, не размахивайте ими на право и налево. Вытащили карту > убрали > вытащили деньги > быстро пересчитали и сразу надежно убрали > взяли чек > испарились.
5. Однажды вам могут позвонить якобы из банка и сказать: «Здравствуйте, укважаемый Лошидзе Баобаб Бабосович, вас беспокоит служба безопасности Вашего банка. В целях безопасности наших клиентов, мы переводим их с 4-значного пин-кода на 6-значный. Просьба сообщить Вас нынешний пин-код и новый желаемый или же то же самое проделать, придя к нам в банк». Естественно, переться и возиться с бумажками многим будет лень, поэтому, смею предположить, что добрая половина тупо скажет свой код. Поэтому…. НИКОГДА и НИКОМУ не говорите свой пин-код! Ни тётям в магазине на кассе, ни, тем более, дядям. Даже работники банка - от тёток на ресепшене до совета директоров - ни под каким предлогом. У них и без этого полно вариантов на тему как оставить вас без штанов :)
6. Если Вас уже бьют - тупо громко орите - их все равно больше ;=)))
На десерт - пара фоток, как может выглядеть ваш похититель:
Шутко )
1. Клавиатура может выглядеть так:
Обычно кнопки - плоские, но бывает, что и кнопки выпирают… Не-не-не, в них точно ничего нет, это уже точно паранойя… или… :)))
2. Картоприемник:
Девайс на последней картинке вызывает у меня некоторые сомнения - с одной стороны, ее правая часть свободна (часть, где окажется магнитная лента), т.е. по сути, сканера там уместиться не должно и этот девайс, в итоге - так называемый антискиммер. Но здесь он сделан настолько ужасно (в том числе и по исполнению), что от скиммера его не отличить. Или же его можно оторвать и приклеить на его место скиммер… в общем, глупость сделали )
Насчет антискиммеров - обезопасить картоприемник банки могли бы без проблем - использовать абсолютно плоскую щель, специальные неровности, мешающие установке поверх любого объекта - но опять же… хотели бы - сделали ) Вот примеры попыток усложнить жизнь:
(Тоже глупая, на самом деле, затея, т.к. скиммер замаскировать под такое дело легко, зато даже сам по себе антискиммер опять же уже наводит на какие-то мысли)
Иногда можно встретить наклейки или стенды «как должен выглядеть банкомат», и, мол, если он выглядит иначе, не пользуйтесь им. Понятное дело, что поверх этого можно наклеить-повесить что угодно :) ВСЁ, лишь бы не работать! )
Успехов!
(Автор -
Boomburum)