Kategorie: Hacking

Bezpečnost bank, část 1. - bankomaty

Máme PINy, bezpečnostní kody, zakrejváme si rukou klávesnici při zadávání pinu - to všechno se zdá super a bezpečnost by neměla být narušena. Opak je však pravdou, dostat přístup na cizí účet nemusí být pro útočníka tak složité, jak se může zdát. V několikadílném seriálu bych se rád věnoval odposlechu pinu, hacku pinu, nebo třeba zneužití karty bez absolutního použití pinu. To vše je možné i pro normální smrtelníky, jak se tedy bránit a nevystavovat se riziku? V prvním díle si povíme o "obyčejném" (ovšem nejpoužívanější) odkoukání PINU...

hack email

Autor: KdoSiOdJinud | Vydáno: 22.12.2011 15:52 | Přečteno: 22114x | Komentářů: 8

Bezpečnost kreditní/platební karty

Pro výběr z bankomatu klasicky potřebujeme kartu. Taková karta může být různých typů, ať už je pouze s magnetickým proužkem, tak může být i s čipem a magnetickým proužkem. Vlastnictvím karty a znalostí PIN kódu dokazujeme svoje právo přistupovat k účtu a tedy penězům, co tam v ideálním případě jsou - jaké jsou tedy zábrany útočníkům? Jak se zamezuje cizím lidem v přítupu na váš účet?

kreditka

Dříve se používali pouze karty s magnetickými proužky (černý proužek většinou na zadní straně karty), tímto proužkem se karta identifikovala a bankomat si vyžádal daný PIN pro tuto kartu. Problém těchto karet byl (i přes obranné mechanismy) v poměrně jednoduchém naklonování karty. To znamená, že jakmile vám při placení zmizela karta z očí byť jen na vteřinu, už jste neměli jistotu, jestli nebyla zkopírována. Jednoduchost zkopírování takových karet demonstruje například toto video.

Karty s čipem jsou už na tom s bezpečností lépe. Čip jako takový má v sobě "přemýšlení" schopnou elektroniku a dokáže vypočítávat bezpečností mechanismy, jeho zkopírovaní už není tak snadné - řekl bych pro smrtelníka v reálných podmínkách nedosažitelné. Nicméně proč i karta s čipem vlastní magnetický pásek? Je to kvůli zpětné kompatibilitě s bankomaty, co nečtou čipy. Opět tedy stačí najít bankomat co nečte čipy a klonovaná karta co měla původně čip bude fungovat i bez čipu. Fail...

V dnešní době je mezi útočníky populární umísťovat čtečku karty přímo na bankomat. Vytvoří jakousi nástavbu na klasickou zdířku. Dříve se používala spíše metoda "ukradení/sežrání" karty, kdy pomocí zvohybané pevné pásky útočníci vytvořili zarážku, která zablokovala kartu uvnitř. Uživatel pak myslel, že karta byla "sežrána" a odešel, útočník si ji pouze vyndal - PIN zjstil technikou níže uvedenou.

Kreditním kartám a možnostem jejich zneužití - následné obrany proti - pomocí internetu se budeme podrobněji věnovat v dalším článku, dosavadní informace nám prozatím stačí. Nyní víme jaké karty útočníci mohou zkopírovat - podíváme se dál. Jak zjistí PIN kód?

Zjištění cizího PIN kódu

Způsoby:

  • okoukáním
  • "phishingovou" podložkou
  • natočením klasickou kamerou
  • sejmutí obrazu termokamerou

Okoukání

Spočívá v prostém koukání se, s jisté studie (né mojí :), ale bylo to zde v ČR ) vyšlo najevo, že i nezkušený pozorovatel je schopný 80% PINů odkoukat. Nejvýhodnější pozice jsou pro něj buď v supermarketu před platícím u kasy, nebo přímo za platícím. U bankomatů je to za. Alespoň víte na koho si nejvíce dávat pozor - člověk pozurující z povzdálí takové možnosti a úspěch nemá.

Phishingová podložka

phishing hack pin

Omlouvám se za pravděpodobně zkomolený název, ale svým způsobem je to takový HW phishing :). Celý vtip je v tom, že útočník vloží na klávesnici kam zadáváte pin "fake" klávesnici, který zaznamenává vaše stisky, ale zároveň promačkává na reálnou, skutečnou klávesnici. Provedení může být dokonalé a k rozeznání nemusí dojít ani při podrobnějším prozkoumání. Výsledek můžete vidět v tomto videu. Video budu používat na ukázky častěji, vždy dám odkaz jen do patřičné části :). Výroba takového zařízení jako je na videu se pohybuje v řádek stokorun...

Natočení klasickou kamerou

Umístění klasické kamery jako "díl" automatu není problém, opět to demonstruje video. Obrana proti přečtení PINu zakrytím ruky je podle průzkumů nedostačující, i při překrytí ruky druhou lze pravděpodobný pin zjistit. Řešením jsou kryty pro ruku, ovšem nastává dilema. Když bude kryt malý akorád pro ruku, nevejde se tam velká ruka velkého chlapa :), když bude velký, místo ruky se tam vejde co? Opet kamera! Objevit kameru prohlídnutím bankomatu není snadné - avšak i přesto okouknutí a zakrytí ruky při zadávání pinu třebas letákem co právě máme v ruce není marné.

Sejmutí obrazu termokamerou

thermo hack pin

Výzkum ze srpna roku 2011 dokázal, že při zadávání PINu zůstává na klávesnici zbytkové teplo z vašeho doteku, toto teplo je měřitelné až do 40s po doteku! Děsivé! Člověk může přijít po vás půl minuty a stejnak sejme termo otisk a zná váš pin. Podle chladnutí lze rozeznat i pořadí stisku kláves a obrana? Leda dobré rukavice + krytí z předchozího kroku :)

Sečteno

Pokud by jsme dodrželi všechny bezpečnostní zásady, výlet k bankomatu by pro nás představoval něco jako výlet s plnou polní do bitevní zóny. Avšak vědomím o těchto způsobech odposlechu PINu můžeme alespoň minimalizovat šance útočníků. U bankomatů je vždy uveden kontakt na technickou podporu, při jakýchkoliv pochybnostech o správném fungování bankomatu můžete volat. Při nalezení podezřelého zařízení taktéž.

V dalších dílech se podíváme, jak se bránit u možnosti obcházení PINu a výběru bez potřeby znalosti PINu.

Komentáře rss

Pokud hledáte službu či máte dotaz mimo téma článku, využijte prosím sekci Nabídky / poptávky.


, termo odpovědět

Článek dost předběhl svou dobu 1
Když to čtu dnes... termokamera může být i součástí mobilního telefonu a u některých bankomatů se přes klávesnici opravdu zadává jenom PIN a dále se vše odehrává na dotykové obrazovce (výběr částky, stvrzenka...)

, dotaz odpovědět

ahoj, ten ramecek s "vas poskytovatel cenzuruje internet", to jde zjistit takhle na dalku jak?

, embos odpovědět

absolutní recht ... jednou mi přes moji embosku skoro vybrali účet...
třeba být opatrný.

[url=http://print24.com/cz/product/vizitky]tisk vizitky[/url]

, termokamera odpovědět

Další věc k té termokameře - stačí na klávesnici chvíli položit ruku a doteky prstů budou překryty.

icon odpověděl(a)

jo jo - ale kdo to dělá viď :), mě se jako nejúčinější zdá ta "fake" klávesnice :)

, - odpovědět

Ahoj, měl bych jen jednu poznámku k té termokameře.
Sice zadám PIN, ale pak můžu třeba ještě vymačkávat částku kterou chci nebo něco jiného,pak by to asi takhle zjistit nešlo.

icon odpověděl(a)

Pravda pravda, to jsem si při psaní neuvědomil - v tom případě musí být kamera umístěna stejně jako při nahrávání a výhodou je pouze to, že překrytí rukou nebo jak píši letákem je zbytečné - díky za poznámku :)

odpověděl(a)

Já si částku většinou vybírám z předdefinovaných a málokdy ji zadávám ručně, tudíž ve většině případů by to bylo proveditelný.