Bezpečnost bank, část 1. - bankomaty

Máme PINy, bezpečnostní kody, zakrejváme si rukou klávesnici při zadávání pinu - to všechno se zdá super a bezpečnost by neměla být narušena. Opak je však pravdou, dostat přístup na cizí účet nemusí být pro útočníka tak složité, jak se může zdát. V několikadílném seriálu bych se rád věnoval odposlechu pinu, hacku pinu, nebo třeba zneužití karty bez absolutního použití pinu. To vše je možné i pro normální smrtelníky, jak se tedy bránit a nevystavovat se riziku? V prvním díle si povíme o "obyčejném" (ovšem nejpoužívanější) odkoukání PINU...

Bezpečnost kreditní/platební karty

Pro výběr z bankomatu klasicky potřebujeme kartu. Taková karta může být různých typů, ať už je pouze s magnetickým proužkem, tak může být i s čipem a magnetickým proužkem. Vlastnictvím karty a znalostí PIN kódu dokazujeme svoje právo přistupovat k účtu a tedy penězům, co tam v ideálním případě jsou - jaké jsou tedy zábrany útočníkům? Jak se zamezuje cizím lidem v přítupu na váš účet?

Dříve se používali pouze karty s magnetickými proužky (černý proužek většinou na zadní straně karty), tímto proužkem se karta identifikovala a bankomat si vyžádal daný PIN pro tuto kartu. Problém těchto karet byl (i přes obranné mechanismy) v poměrně jednoduchém naklonování karty. To znamená, že jakmile vám při placení zmizela karta z očí byť jen na vteřinu, už jste neměli jistotu, jestli nebyla zkopírována. Jednoduchost zkopírování takových karet demonstruje například toto video.

Karty s čipem jsou už na tom s bezpečností lépe. Čip jako takový má v sobě "přemýšlení" schopnou elektroniku a dokáže vypočítávat bezpečností mechanismy, jeho zkopírovaní už není tak snadné - řekl bych pro smrtelníka v reálných podmínkách nedosažitelné. Nicméně proč i karta s čipem vlastní magnetický pásek? Je to kvůli zpětné kompatibilitě s bankomaty, co nečtou čipy. Opět tedy stačí najít bankomat co nečte čipy a klonovaná karta co měla původně čip bude fungovat i bez čipu. Fail...

V dnešní době je mezi útočníky populární umísťovat čtečku karty přímo na bankomat. Vytvoří jakousi nástavbu na klasickou zdířku. Dříve se používala spíše metoda "ukradení/sežrání" karty, kdy pomocí zvohybané pevné pásky útočníci vytvořili zarážku, která zablokovala kartu uvnitř. Uživatel pak myslel, že karta byla "sežrána" a odešel, útočník si ji pouze vyndal - PIN zjstil technikou níže uvedenou.

Kreditním kartám a možnostem jejich zneužití - následné obrany proti - pomocí internetu se budeme podrobněji věnovat v dalším článku, dosavadní informace nám prozatím stačí. Nyní víme jaké karty útočníci mohou zkopírovat - podíváme se dál. Jak zjistí PIN kód?

Zjištění cizího PIN kódu

Způsoby:

• okoukáním
• "phishingovou" podložkou
• natočením klasickou kamerou
• sejmutí obrazu termokamerou

Okoukání

Spočívá v prostém koukání se, s jisté studie (né mojí :), ale bylo to zde v ČR ) vyšlo najevo, že i nezkušený pozorovatel je schopný 80% PINů odkoukat. Nejvýhodnější pozice jsou pro něj buď v supermarketu před platícím u kasy, nebo přímo za platícím. U bankomatů je to za. Alespoň víte na koho si nejvíce dávat pozor - člověk pozurující z povzdálí takové možnosti a úspěch nemá.

Phishingová podložka

Omlouvám se za pravděpodobně zkomolený název, ale svým způsobem je to takový HW phishing :). Celý vtip je v tom, že útočník vloží na klávesnici kam zadáváte pin "fake" klávesnici, který zaznamenává vaše stisky, ale zároveň promačkává na reálnou, skutečnou klávesnici. Provedení může být dokonalé a k rozeznání nemusí dojít ani při podrobnějším prozkoumání. Výsledek můžete vidět v tomto videu. Video budu používat na ukázky častěji, vždy dám odkaz jen do patřičné části :). Výroba takového zařízení jako je na videu se pohybuje v řádek stokorun...

Natočení klasickou kamerou

Umístění klasické kamery jako "díl" automatu není problém, opět to demonstruje video. Obrana proti přečtení PINu zakrytím ruky je podle průzkumů nedostačující, i při překrytí ruky druhou lze pravděpodobný pin zjistit. Řešením jsou kryty pro ruku, ovšem nastává dilema. Když bude kryt malý akorád pro ruku, nevejde se tam velká ruka velkého chlapa :), když bude velký, místo ruky se tam vejde co? Opet kamera! Objevit kameru prohlídnutím bankomatu není snadné - avšak i přesto okouknutí a zakrytí ruky při zadávání pinu třebas letákem co právě máme v ruce není marné.

Sejmutí obrazu termokamerou

Výzkum ze srpna roku 2011 dokázal, že při zadávání PINu zůstává na klávesnici zbytkové teplo z vašeho doteku, toto teplo je měřitelné až do 40s po doteku! Děsivé! Člověk může přijít po vás půl minuty a stejnak sejme termo otisk a zná váš pin. Podle chladnutí lze rozeznat i pořadí stisku kláves a obrana? Leda dobré rukavice + krytí z předchozího kroku :)

Sečteno

Pokud by jsme dodrželi všechny bezpečnostní zásady, výlet k bankomatu by pro nás představoval něco jako výlet s plnou polní do bitevní zóny. Avšak vědomím o těchto způsobech odposlechu PINu můžeme alespoň minimalizovat šance útočníků. U bankomatů je vždy uveden kontakt na technickou podporu, při jakýchkoliv pochybnostech o správném fungování bankomatu můžete volat. Při nalezení podezřelého zařízení taktéž.

V dalších dílech se podíváme, jak se bránit u možnosti obcházení PINu a výběru bez potřeby znalosti PINu.

Autor: KdoSiOdJinud / Jan Kuthan Vydáno: 22.12.2011 15:52 Přečteno: 872x

Chyba na Dama.cz + osobní data uživatelek Láska - dobrovolné zlo? Blesk: Zneužitelný BandZone.cz a veřejný archiv 21.s... Vyhledávače mě nemají rádi