Pobierz - Wyższa Szkoła Informatyki i Zarządzania w Rzeszowie

JAK ZA POMOCĄ TELEFONU KOMÓRKOWEGO UKRAŚĆ KOMUŚ PIENIĄDZE Z BANKU
– CZYLI O BEZPIECZEŃSTWIE NOWOCZESNYCH TECHNOLOGII SŁÓW KILKA
Daniel Dereniowski
Wyższa Szkoła Informatyki i Zarządzania w Rzeszowie
Streszczenie
Referat porusza szeroką tematykę współczesnych oszustw finansowych z wykorzystaniem błędów
w nowoczesnych urządzeniach np. bankomatach. Artykuł ma charakter rozważań nad możliwościami
ataków oraz ma za zadanie pełnić funkcje informacyjną. Szeroki i szybki rozwój sektora nowych technologii coraz bardziej ułatwia codzienne życie lecz jednocześnie jest źródłem nowych nieznanych
wcześniej zagrożeń.
Nowoczesne technologie zmieniają nasze podejście do życia, zachowania dotyczące rozrywki, komunikacji, nawiązywania nowych znajomości czy zakupów lub przelewów pieniężnych. Jednocześnie
ułatwienie wielu czynności poprzez nowoczesne rozwiązania technologiczne stawia ich użytkowników wobec wyzwania w postaci większej odpowiedzialności w kwestii zapewnienia bezpieczeństwa
i odpowiedniej ochrony. Jednocześnie służby odpowiedzialne do tej pory za zapewnianie go muszą
zmagać się z nowymi, nie sankcjonowanymi wcześniej problemami.
Celem tej pracy jest przedstawienie praktycznych możliwości ataków z wykorzystaniem nietypowych
metod na nasze prywatne informacje, pieniądze czy inne dobra osobiste.
1. Bankowość elektroniczna, karty kredytowe, problemy z bankomatami
Rozwinięcie usług bankowych to chyba jeden z koronnych przykładów zmian zachodzących
w codziennym życiu. Obejmuje m.in. błyskawiczne przelewy, korzystanie z wielu bankomatów
w każdym praktycznie zakątku kraju, upowszechnienie płatności kartami debetowymi oraz kredyto-
www.think.wsiz.rzeszow.pl, ISSN 2082-1107, Nr 4 (12) 2012, s. 14-20
Jak za pomocą telefonu komórkowego ukraść komuś pieniądze z banku – czyli o bezpieczeństwie nowoczesnych
technologii słów kilka
wymi, rozwój serwisów finansowych pozwalających na wymianę walut, zaciąganie pożyczek
w serwisach pożyczek społecznościowych1. Wiele problemów z bezpieczeństwem wprowadza upowszechnianie płatności kartami bezstykowymi (pay pass) czy, w niedalekiej przyszłości, płatność zbliżeniowa za pomocą nowoczesnych telefonów komórkowych2.
2. „Niebezpieczne wypłaty”
Bankomaty chyba najbardziej ucierpiały na szturmie złodziei liczących na szybki zarobek. Możliwości
i kreatywność niektórych przestępców naprawdę mogą wprawić w zakłopotanie. Tutaj postaram się
przedstawić tylko kilka ważnych aspektów bezpieczeństwa tych urządzeń.
Jednym z pojęć ściśle związanych z oszustwami dotyczącymi wypłat w bankomatach jest skimming3,
polegający na wykorzystaniu fizycznych urządzeń zainstalowanych specjalnie w bankomacie do przejęcia danych identyfikacyjnych karty kredytowej, debetowej lub wprowadzanego kodu PIN. Skimming
przybiera różne formy, czasami jest to specjalnie przygotowana nakładka na wlot karty płatniczej,
imitująca integralną część obudowy bankomatu. Przykładowe urządzenie przedstawia fot. nr 1.
Fot. 1 – przykładowy skimmer zainstalowany na bankomacie
Źródło: http://www.yourdoor.net/index.php?option=com_content&view=article&id=49%3Acredit-cardskimmers&catid=40%3Aconsumer-notice&Itemid=57, z dnia 30.08.2012.
Innymi metodami są m.in. instalowanie kamer do podejrzenia wprowadzania kodu PIN przez użytkownika czy wykorzystanie keyloggera montowanego w klawiaturze bankomatu. Często obie te metody wykorzystuje się jednocześnie, by zwiększyć szanse na udane przestępstwo.
Jak bronić się przed tego rodzaju oszustwami? Najlepszą metodą obrony jest zwyczajny, zdrowy rozsądek. Warto też korzystać jak najczęściej z tych samych bankomatów, dzięki czemu będziemy mogli
1
M. Kisiel, Co dalej z pożyczkami społecznościowymi w Polsce?, [w:] http://www.bankier.pl/wiadomosc/Codalej-z-pozyczkami-spolecznosciowymi-w-Polsce-2346965.html, z dnia 30.08.2012.
2
http://www.gsmarena.com/glossary.php3?term=nfc, z dnia 05.09.2012.
3
http://www.investopedia.com/terms/s/skimming.asp, z dnia 05.09.2012.
15
Jak za pomocą telefonu komórkowego ukraść komuś pieniądze z banku – czyli o bezpieczeństwie nowoczesnych
technologii słów kilka
zaobserwować jakieś zmiany w ich wyglądzie. Przy niektórych urządzeniach umieszcza się zdjęcia
bankomatu, by można było porównać jego wygląd zewnętrzny. Nie zaszkodzi również poświęcić kilku
sekund, by dokładnie przyjrzeć się, czy coś nie wystaje nienaturalnie z obudowy lub jakiś jej element
nie rusza się w nietypowy sposób, po dotknięciu.
Jednocześnie warto uważać, by nikt nie podejrzał wpisywanego przez nas kodu PIN. Najlepszą metodą jest umiejętne zasłonięcie dłońmi klawiatury bankomatu, co nie jest jednak takie proste. Niektórzy
stosują metody wręcz humorystyczne (zob. fot. nr 2). Ważne, by były skuteczne.
Fot. 2 – humorystyczne przedstawienie dbania o bezpieczeństwo swoich transakcji
Źródło: http://niebezpiecznik.pl/wp-content/uploads/2012/09/1257455019_by_mocart_500.jpeg, z dnia
22.09.2012.
Skimming jest na tyle popularną formą kradzieży, że większość banków w umowach podpisywanych
z klientami szczegółowo reguluje zakres ochrony klienta narażonego na to oszustwo, ubezpieczając
najczęściej takie zdarzenia. I chociaż obecnie nie musimy być już narażeni na wielkie straty finansowe, jeśli nasz bank ubezpiecza nas na wypadek tego typu zagrożeń, to jednak warto zachowywać
ostrożność, by zaoszczędzić sobie zmartwień i czasu potrzebnego na udowodnienie w banku, że nie
podaliśmy z premedytacją nikomu danych naszej karty. Należy też wziąć pod uwagę fakt, iż niektóre
banki wróciły do niewspierania poszkodowanych przez oszustów klientów.4
3. Inne ataki na bankomaty
Bankomaty narażają nie tylko klientów na stanie się ofiarą oszustwa, lecz również same narażone są
na próby kradzieży i zniszczenie. Pomysłowość niektórych przestępców naprawdę potrafi zaskakiwać,
4
http://niebezpiecznik.pl/post/mbank-przestaje-ubezpieczac-od-skimmingu/, z dnia 22.09.2012.
16
Jak za pomocą telefonu komórkowego ukraść komuś pieniądze z banku – czyli o bezpieczeństwie nowoczesnych
technologii słów kilka
a Polacy mają niechlubne dokonania również na tym polu. Znane są np. przypadki kradzieży całych
bankomatów poprzez wyrwanie ich ze ściany.
Jednym z dziwniejszych pomysłów okradania bankomatów jest dokonywanie kradzieży
z wykorzystaniem… widelca5. Metoda wykorzystywana była przez szajkę złodziei działających we
Francji. Składały się na nią czynności wykonywane w następującej kolejności: najpierw dokonywano
jednej legalnej transakcji wypłaty; gdy bankomat otwierał szczelinę przeznaczoną na banknoty, złodzieje wkładali w nią zagięty widelec. Następnie dokonywano drugiej transakcji, na znacznie większa
kwotę, jednak nie doprowadzano jej do końca, lecz unieważniano tuż przed wypłatą pieniędzy (i co
ważne – już po przygotowaniu przez bankomat gotówki do wypłaty). Następnie do tak przygotowanej
gotówki sięgano poprzez szczelinę z widelcem.
Efekt? Gotówka w ręce i brak śladów po drugiej wypłacie na rachunku klienta, bo bankomat był
„przekonany”, iż została ona anulowana. Do widelcowego gangu należeli Rumuni, a ich sztuczka wyszła na jaw dzięki kamerom monitoringu.
Podobna metoda stosowana była w Polsce już dawno temu. Polegała ona jednak na wybraniu z menu
bankomatu maksymalnej kwoty do wypłaty (w większości bankomatów z racji przepisów jest to kwota 3900 PLN).
Kiedy pieniądze ukazywały się w szczelinie, złodziej brał tylko kilka z nich, ze środka, resztę pozostawiając w oryginalnym położeniu. I tu warto wiedzieć, jak zaprogramowane są bankomaty — jeśli maszyna wykryje, że pieniądze nie zostały podjęte (czujnik pokazuje, że dalej tkwią w szczelinie) to pieniądze są „wciągane” z powrotem do środka przez bankomat, a transakcja jest unieważniana (z konta
klienta nie znika wypłacana kwota). Wynik sztuczki? Kilkaset złotych w ręku i brak śladu po transakcji
na koncie.
Banki walczyły ze złodziejami poprzez kamerki (jednak nie wszystkie bankomaty je mają) oraz przez
wprowadzenie funkcji przeliczania wciąganej z powrotem do bankomatu gotówki w przypadku anulowania transakcji (znów nie wszystkie modele bankomatów to potrafią). Jeśli Kowalski wypłacał
3900 PLN, następnie anulował transakcję, a do bankomatu trafiało już tylko 3000, Kowalski był przez
bank wzywany na poważną rozmowę.
Pewną przeszkodą w obu powyżej opisanych metodach kradzieży było do niedawna to, że transakcję
trzeba było zainicjować z jakiejś karty płatniczej (związanej z czyimś rachunkiem — bank miał więc
punkt zaczepienia). Dziś złodzieje mogą jednak skorzystać z kupionych w supermarkecie prepaidowych, anonimowych kart płatniczych… Kogo wtedy bank wezwie do złożenia wyjaśnień?
Istnieją również inne rodzaje ataków, niektóre bardzo subtelne jak chociażby atak uderzający
w mechanizm działania kart płatniczych6 czy korzystanie z metody „na Polaka”, polegającej na siłowym zniszczeniu lub wyrwaniu bankomatu ze ściany7 (w której to metodzie ponoć dominujemy
w Europie).
5
http://niebezpiecznik.pl/post/widelcem-okradli-bankomaty-na-1-milion-euro/, z dnia 22.09.2012.
http://niebezpiecznik.pl/post/blad-w-bankomatach-nowy-atak-na-karty-platnicze-zchipem/?similarpost=TOP10, z dnia 22.09.2012.
7
http://niebezpiecznik.pl/post/kradziez-bankomatu-metoda-na-polaka/, z dnia 22.09.2012.
6
17
Jak za pomocą telefonu komórkowego ukraść komuś pieniądze z banku – czyli o bezpieczeństwie nowoczesnych
technologii słów kilka
4. Oszustwa wykorzystujące technologie mobilne oraz karty płatnicze
Warto przeanalizować kwestie związane z funkcjonowaniem większości rodzajów kart kredytowych.
Informacje jakie można uzyskać z karty kredytowej to jej numer, data ważności (wyrażana w miesiącu
oraz roku), jak również specjalny 3-cyfrowy kod na odwrocie karty (tzw. kod CVV)8. Można by pomyśleć, że ludzie zdają sobie sprawę z wagi informacji jakie są zapisane na ich kartach i wiedzą, iż nie
powinni nimi zbytnio się chwalić. Jednak edukacja społeczeństwa w tych kwestiach ciągle pozostawia
wiele do życzenia. W serwisie społecznościowym twitter9 powstało konto o wdzięcznej nazwie NeedADebitCard10, gdzie umieszczane są zdjęcia innych użytkowników serwisu, przedstawiające ich
karty kredytowe z danymi pozwalającymi na dokonanie zakupów (nawet bez znajomości kodu PIN).
W Internecie istnieje wiele serwisów, które potrzebują do autoryzacji transakcji jedynie numeru karty, terminu ważności oraz wspomnianego już wcześniej nr CVV. Poniżej przedstawione jest przykładowe zdjęcie z serwisu.
Fot. 3 – wiele problemów jest wynikiem dużego braku rozsądku
Źródło: https://twitter.com/istaymindless23/status/248585827729436672/photo/1, z dnia 30.08.2012.
Korzystając jedynie z informacji dostępnych na tym zdjęciu mamy 1000 możliwości wprowadzenia
odpowiedniego kodu CVV (kodem musi być liczba z przedziału 000-999), by za pomocą tej karty dokonać zakupu. Przy możliwości zautomatyzowania tej czynności (dzięki np. odpowiedniemu programowi sprawdzającemu kombinacje) potencjalnemu złodziejowi nie nastręcza już to takich dużych
problemów i zajmuje względnie mało czasu. Warto pamiętać, że takie informacje mogą zostać udo8
(Card Verification Number) https://www.fru.pl/wazne_pytania/co_to_jest_kod_cvv, z dnia 30.08.2012.
https://twitter.com, z dnia 30.08.2012.
10
https://twitter.com/NeedADebitCard, z dnia 30.08.2012.
9
18
Jak za pomocą telefonu komórkowego ukraść komuś pieniądze z banku – czyli o bezpieczeństwie nowoczesnych
technologii słów kilka
stępnione nie zawsze z naszej winy. Przykładową sytuacją może być chociażby płatność kartą. W kolejce w sklepie, stojąca za nami osoba może telefonem komórkowym zrobić zdjęcia naszej karty kredytowej (zwłaszcza w momencie przekazywania tej karty pracownikowi sklepu). Także nieuczciwi
pracownicy sklepu, mając dostęp chociażby do monitoringu, również mogą z łatwością zarejestrować
wszystkie im potrzebne dane.
Dlatego dobrym pomysłem jest (jeśli nie korzystamy za często z płatności z wykorzystaniem kodu
CVV) najzwyklejsze zaklejenie miejsca z opisanym kodem, jak na zdjęciu poniżej.
Fot. 4 – zaklejenie miejsca na kod cvv/cvv2 pozwala skuteczniej chronić wrażliwe dla nas dane
Źródło: http://niebezpiecznik.pl/wp-content/uploads/2012/07/zaklejony_cvv2_karta_kredytowa.jpg, z dnia
30.08.2012.
19
Jak za pomocą telefonu komórkowego ukraść komuś pieniądze z banku – czyli o bezpieczeństwie nowoczesnych
technologii słów kilka
Istnieją również zagrożenia związane z możliwością płatności bez autoryzacji poprzez kody cvv czy nr
PIN (płatności bezdotykowe). I choć ataki te nie są jeszcze tak popularne, to już można spotkać artykuły coraz częściej przestrzegające przed tymi zagrożeniami.
Podsumujmy: wiele obecnych zagrożeń jest wynikiem, z jednej strony, rozwoju technologii, z drugiej
natomiast ewidentnego braku odpowiedniej wiedzy, nadążającej za zmianami.
Przedstawione tutaj zagrożenia są tylko niewielkim odsetkiem możliwości, jakie obecnie mogą wykorzystywać przestępcy. Nową szansą dla złodziei na pewno są urządzenia mobilne i szybko rosnący
przyrost powstających na nie aplikacji. Tylko odpowiednia i systematyczna edukacja pozwoli na wykrywanie większości oszustw i szybkie reagowanie na takie incydenty.
Bibliografia
1. M. Kisiel, Co dalej z pożyczkami społecznościowymi w Polsce?, [w:]
http://www.bankier.pl/wiadomosc/Co-dalej-z-pozyczkami-spolecznosciowymi-w-Polsce2346965.html, z dnia 30.08.2012.
2. http://www.gsmarena.com/glossary.php3?term=nfc, z dnia 05.09.2012.
3. http://www.investopedia.com/terms/s/skimming.asp, z dnia 05.09.2012.
4. http://www.yourdoor.net/index.php?option=com_content&view=article&id=49%3Acredit-cardskimmers&catid=40%3Aconsumer-notice&Itemid=57, z dnia 30.08.2012r.
5. http://niebezpiecznik.pl/wp-content/uploads/2012/09/1257455019_by_mocart_500.jpeg, z dnia
22.09.2012.
6. http://niebezpiecznik.pl/post/mbank-przestaje-ubezpieczac-od-skimmingu/, z dnia 22.09.2012.
7. http://niebezpiecznik.pl/post/widelcem-okradli-bankomaty-na-1-milion-euro/, z dnia
22.09.2012.
8. https://twitter.com/istaymindless23/status/248585827729436672/photo/1, z dnia 30.08.2012r.
9. http://niebezpiecznik.pl/post/blad-w-bankomatach-nowy-atak-na-karty-platnicze-zchipem/?similarpost=TOP10, z dnia 22.09.2012.
10. http://niebezpiecznik.pl/post/kradziez-bankomatu-metoda-na-polaka/, z dnia 22.09.2012.
11. (Card Verification Number) https://www.fru.pl/wazne_pytania/co_to_jest_kod_cvv, z dnia
30.08.2012r.
12. https://twitter.com, z dnia 30.08.2012r.
13. https://twitter.com/NeedADebitCard, z dnia 30.08.2012r.
14. http://niebezpiecznik.pl/wp-content/uploads/2012/07/zaklejony_cvv2_karta_kredytowa.jpg, z
dnia 30.08.2012r.
20