Легко ли взломать банкомат? (КВ-Лайт)

Сейчас банкоматы растут как грибы после дождя, увеличивается количество держателей кредитных карточек, а вместе с ними и очереди к устройствам, находящимся в местах скопления народа. Кто-то из людей, стоящих в очереди и теребящих разноцветные кусочки пластика, смотрит на электронного кассира как на удобное средство получения своих кровных в нужное время. Кто-то, возможно, связывает с банкоматами свои мечты о легкой наживе.

В 2005 году в Европе произошло рекордное количество преступлений, имеющих отношение к "пластиковым" деньгам. Неужели банкоматы легко взламываются? О мифах, реальных случаях и способах защиты своих сбережений и пойдет речь в данной статье.


Упрощенная классификация

Банкоматы различаются по назначению и дизайну, однако когда говорят о способах их исполнения, то выделяют следующие типы: офисные, уличные и чересстенные. Как следует из названия, первые предназначены для работы внутри магазинов и различных учреждений, а вторые - на улице (в Минске я таких еще не встречал). Чересстенные банкоматы в целях безопасности врезаются в стену зданий и могут быть расположены как внутри дома, так и снаружи. Самым надежным и удобным вариантом является последний, однако он требует больших накладных расходов.


Составные части банкомата

 

Внутри банкомата находится компьютер, работающий под управлением ОС Windows XP, OS/2 WARP или других, а также сейф, предназначенный для хранения денежных купюр в специальных кассетах. Следует отметить, что сейф не является обязательным атрибутом банкомата, т.к. встречаются устройства, позволяющие лишь осуществлять платежи при помощи пластиковых карточек. Обычно сейф имеет толстые металлические стенки и кодовый замок, а его вес может составлять от 500 кг до полутора тонн. Тем не менее, встречаются и более легкие версии, однако они меньше всего защищены, т.к. тонкие стенки сейфа легко поддаются механическим воздействиям. Да и унести такой банкомат проще при помощи специальной техники (подъемные краны, экскаваторы и т.д.) или нескольких ребят атлетического телосложения. Описанные случаи похищения уличных банкоматов, в которых участвовало три или четыре человека, могут быть правдой, если принять в расчет данное обстоятельство. Но в то же время непонятно, на что рассчитывали злоумышленники, ведь банкомат всегда находится на связи с центром управления, который в случае чего забьет тревогу. Жаль, но история умалчивает о результатах подобных краж.

На лицевой панели банкомата находится сенсорный или обычный дисплей, клавиатура (если необходимо), устройство для считывания данных с пластиковых карточек (карт-ридер). Также в верхней части банкомата расположены чековый и журнальный принтеры, которые служат, соответственно, для выдачи чеков и записи осуществляемых электронным кассиром действий. Некоторые современные модели имеют еще и графический принтер. Не забудем и про окошко выдачи, через которое банкомат отпускает запрошенные деньги. Оно обычно расположено под экраном (да вы и без меня это хорошо знаете). Будем считать, что с устройством электронного кассира вы познакомились, теперь перейдем к описанию его работы.


Принцип работы банкомата

Любой банкомат не выполнит ни одной операции, пока не свяжется со своим командным центром, который управляет целой сетью банкоматов и может принадлежать как самому банку, так и независимому поставщику услуг. Каждый запрос пользователя отправляется в центр управления, а затем - в банк, которому принадлежит ваша пластиковая карточка. Кроме того, в командный центр отправляется вся информация о работе банкомата: отчет об обнаруженных ошибках, уведомления о необходимости смены лент для принтеров, об отсутствии денег и т.д. Если ошибки носят критический характер, то в центре принимается решение об отключении устройства.

Механизм выдачи денег довольно прост: необходимая сумма собирается из купюр, которые находятся в разных кассетах (в одной кассете купюры одного достоинства), причем множество датчиков гарантируют то, что банкомат выдаст именно запрошенное количество дензнаков.

Банкомат может соединяться с общей сетью при помощи телефонных или выделенных линий в зависимости от нагрузки и количества подключенных аппаратов. Все банкоматы, кроме тех, которые расположены непосредственно в банке, работают через протокол X.21, а скорость передачи данных обычно составляет 9600 Кбит/с. Все пересылаемые пакеты шифруются. Ну, вот теперь мы и добрались до механизмов, обеспечивающих безопасность работы банкомата.


Средства защиты

К средствам защиты денег, хранящихся в кассетах банкомата и на счетах держателей карт, относятся упомянутые выше металлический сейф и шифрование информации, которая пересылается по каналам связи в командный центр, что очень сильно затрудняет подключение к сети устройств, подменяющих отсылаемые пакеты. Кроме того, банкоматы могут оснащаться сигнализацией и видеокамерой, доступ к сейфу осуществляется через ввод ключа оператора, который требует интерфейсная программа, позволяющая выполнять различные действия, например, замену кассет. Доступ к настройкам ОС есть только у программиста, у которого имеется также свой ключ.

На кредитной карточке нигде не записан PIN-код - его каждый пользователь должен хранить в голове. При вводе PIN-код также шифруется, а если человек три раза ошибается, то карточка к нему не возвращается, а помещается в специальный контейнер. Если пластиковая карта была утеряна, то пользователь должен сообщить об этом в банк, который установит на нее метку изъятия. Это означает, что если нашедший карточку попытается ею воспользоваться, машина ее также проглотит.

Кроме того, в ближайшее время следует ожидать массового внедрения интеллектуальных систем безопасности банкоматов, а также применения ряда других специальных мер, призванных поставить надежный барьер действиям злоумышленников.


Незаконное получение денег

Чтобы поправить свое материальное положение криминальным путем при помощи банкомата, можно пойти по двум различным дорогам: любым способом достать деньги, находящиеся в сейфе (примитивно), или снять их со счета интеллектуальным путем (узнать PIN-код и подделать пластиковую карточку, что не составляет трудностей, или подключиться к сети и подделать пересылаемые сообщения). Но в любом случае предприятие с большой долей вероятности потерпит фиаско. Далее приводятся самые изощренные способы взлома банкоматов, а также советы пользователям, которые не хотят стать жертвами мошенников.


Пример 1. Глупый

Во многих ресторанах на Западе оплата может происходить следующим образом: официант получает из рук посетителей пластиковую карточку, те сообщают ему PIN-код, а он направляется к карт-ридеру и списывает необходимую сумму. В Эстонии находчивый официант умудрялся считывать карточку самодельным устройством по дороге к карт-ридеру, что не привлекло бы к себе внимания, если бы не алчность последнего.

Чтобы избежать подобных неприятностей, рекомендуется никогда и ни при каких условиях не светить свой PIN-код.


Пример 2. Курьезный

А зачем пытаться взломать реальный банкомат, если можно просто поставить на малолюдной улице липовый, который считывал бы информацию с карточек и записывал введенные пароли? Так и было сделано лет пять назад. Все выглядело очень натурально: пользователь вводит PIN-код, а банкомат заявляет, что нет денег или связи. Потом злоумышленники изготавливали поддельные кредитные карточки и, зная пароль, снимали денежные знаки, используя настоящие банкоматы. В банке никто не мог понять, почему пропадают деньги. Так продолжалось полтора года. Преступники до сих пор не найдены.

Да тут и не скажешь ничего, кроме того, что следует воздерживаться от снятия денег в подозрительных местах или запрашивать список всех банкоматов, принадлежащих данному банку и расположенных в интересующем вас месте.


Пример 3. Продвинутый

На клавиатуру банкомата накладывается тонкая пленка со встроенным микропроцессором, запоминающим не только нажимаемые цифры, но и их последовательность. Вся информация обрабатывается программой, вшитой в чип. Потом девайс снимается и "рассказывает" злодеям все секреты пользователей.

В этом случае рекомендуется обращать внимание на странные предметы на клавиатуре, в области окна выдачи денег, а также на любые подозрительные устройства.


Пример 4. Чисто хакерский

Данный способ обогащения будет немного сложнее предыдущих. Хотя, если вы разбираетесь в сетевых протоколах на канальном уровне... Идея следующая: нужно врезаться в разрыв кабеля, идущего от банкомата к командному центру, произведя коммутацию "на ходу", затем анализировать и расшифровывать пересылаемые пакеты, а потом подделать команду банкомату на выдачу вам суммы с n-ым количеством нулей. Конечно, придется помучаться, отправляя в центр ложные извещения. И что делать с принтером, записывающим все события? Да и как вообще подсоединить ноут к сети, когда большинство банкоматов расположено в стене или прислонены к ней? Нужно неплохо разбираться в схемах соединения этих устройств, по крайней мере, работать в этой области, чтобы точно знать, в каком подвале проходит нужный кабель. А кто тогда будет стоять рядом с банкоматом и всовывать пластиковую карточку? Данный алгоритм взлома можно легко найти в интернете, однако, как мы видим, вопросов больше, чем ответов. Едва ли можно серьезно говорить о его реализации.


Выводы

Возможно, большое число посягательств на наши с вами денежки, которые имели место в последнее время во всем мире, как раз и объясняются тем, что не имеющие достаточного образования люди, ослепленные возможностью легкой наживы, проглатывают различные истории и покупают у "спецов" особое оборудование в интернете. Принимая во внимание систему защиты банкоматов, можно смело сказать, что "ломануть" машину будет очень трудно. Но можно обмануть. А это возможно только при "посредничестве" самих неосмотрительных клиентов. Хоть в Беларуси мошенничества с пластиковыми карточками не достигли таких масштабов, все же будем бдительны, господа!

Narthex Vega

Версия для печатиВерсия для печати

Номер: 

16 за 2006 год

Рубрика: 

На заметку
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!
 

Комментарии

Страницы

Аватар пользователя Eugene
"Любой банкомат не выполнит ни одной операции, пока не свяжется со своим командным центром, который управляет целой сетью банкоматов и может принадлежать как самому банку, так и независимому поставщику услуг. Каждый запрос пользователя отправляется в центр управления, а затем - в банк, которому принадлежит ваша пластиковая карточка."

- полная лажа. Национальная платежная система "БелКарт" позволяет ваполнять Offline-операции (выдача наличных с карты, смена пина и др.) А банкоматов обслуживающих карты "БелКарт" уже около 250 по РБ.

Аватар пользователя Сергей
>Внутри банкомата находится компьютер, работающий под управлением ОС Windows XP, OS/2 WARP или других, а также сейф, предназначенный для хранения денежных купюр в специальных кассетах<

Никакой там ни компьютер, а специализированная плата в металлическом блоке на основе писишной с неразъемными ОЗУ. Ты где вообще данные брал спец по банкоматам, в инете? Тогда бы еще ОС поперечислял бы которые знаешь, а то как-то мало. А сейф со спецкасетами - это вообще верх воображения, к твоему сведению там автоматизированная система денежного хранения. И ссылки на источники очень коректно вставлять в такие материалы.

Аватар пользователя Narthex (автор)
> Никакой там ни компьютер

Сам собственными глазами видел, как программист работал с системой: были и кассеты, и флопик, и клавиатура, и XP (ст. метро Институт Культуры).

> автоматизированная система денежного хранения

Я не понял, разве сейф с кассетами и кучей датчиков, контролирующих выбор купюр, - не автоматизированная система денежного хранения? Могли бы и пояснить. Или слабо? :)

> Национальная платежная система "БелКарт"...

Наверное, еще не доросли. :) Интересно, какие у этой системы средства защиты, если PIN можно менять с помощью банкомата. Для смены номера мобильного телефона, PIN, PUK нужно обращаться в оф. офис с паспортом. Выводы делайте сами.

> А банкоматов обслуживающих карты "БелКарт" уже около 250 по РБ.

Ни одного еще не видел, не преувиличиваете? :)

>Тогда бы еще ОС поперечислял бы которые знаешь, а то как-то мало.

Боюсь, большая часть названий Вам будет не знакома.

Аватар пользователя Narthex (автор)
Сорри, про смену PIN для мобильника я наврал. :)
Аватар пользователя Narthex (автор)
Я считаю, необходимо пояснить, каким образом был подготовлен материал про банкоматы.

Сначала были найдены статьи (статья?) о принципах его функционирования. Одна статья точно была.

Затем на хакерских сайтах была найдена инфа о способах взлома (около 5 статей).

Затем Copy&Paste? Нет, не угадали. Потом были просмотрены несколько форумов, на которых присутствовали чайники, спрашивающие "А что? А почему?", специалисты, работающие непосредственно с банковскими автоматами, и люди, рассказывающие о своих наблюдениях за программистами банкоматов, во время проведения технических работ.

Все инфа из статей была на 70-80% проверена на форумах (т.е. подтверждена). Опровержений не было. Я так всегда работаю.

> И ссылки на источники очень коректно вставлять в такие материалы.

Корректно писать слово "корректно" с двумя "р". Инфа была проверена мною на форумах, это мои знания, а не чьи-то. Я не считаю необходимым ссылаться на этот материал.

Аватар пользователя Извратоучитель
Сегодня, уже ничего невозможно взломать простым "перехватом". Взлом возможен только тогда, когда возможна покупка инфы в одном из звеньев обслуживания автомата. В общем, "человеческий фактор" помогает в любом современном взломе, на втором месте пофигизм обслуживающего персонала, на третьем глобальные ошибки операциоки (которые выявляются почти случайным образом) в других случаях супер комп и немерянная толщина инет или радио канала, пару недель работы компа (за пару сотен тыс. долл.) и любой сможет украсть пару тысяч из банкомата, но при этом затратить пару сот косарей. Но если это был "безсеребрянник", тогда он сообщит о способе взлома, и любой школьник будет ломать автоматы до тех пор, пока не заткнут дыру.

Я все сказал.

Желание все и сразу - понятное дело.

Но не нужно забывать, что желаемое - не всегда действительное.

Аватар пользователя Связист
>Банкомат может соединяться с общей сетью при помощи телефонных или выделенных линий в зависимости от нагрузки и количества подключенных аппаратов.

Ты понял чего ты написал?

Какой общей сетью? - инфа с банкомата сразу идет в банковский центр.

Что ты хочешь сказать своей фразой? Если количество банкоматов много, то отказываются от телефонных каналов связи? И что значит от нагрузки? Повысилась нагрузка и стали новыю линию связи строить? Это точно не CTRL-C-V?

Аватар пользователя Логик
Связист > Что ты хочешь сказать своей фразой?

Он хочет сказать следующее:

1. Определили место, куда ставить банкомат.

2. Установили. Подвели к нему электричество.

3. Теперь надо подключить банкомат к сети банка. - как?

-Если банкомат находиться в холле банка - вопросов нет.

-Если есть выделенная линия связи - любого типа - вопросов нет.

-Если есть только телефонная (невыделенная) линия связи - то банкомат может работать и по ней. - Но какой банкомат? "Белкарт-банкомат" - может. Ему то надо (точнее может и в таком режиме) - что пару раз в сутки передать инфу в банк. Но, если есть возможность подключить банкомат по выделенной линии - то даже "Белкарт-банкомат" может работать как обычный банкомат, которому при совершении операции, требуется связь с банком.

Теоретически банкомат может и по обычной невыделеной линии связываться с банком ТОЛЬКО НА ВРЕМЯ совершении операции с карточкой, а в "простое" - отключаться. Но такой режим стараются не применять - если уж в притык и нет свободный выделенных линий.

Теперь все ясно? ;-)

Аватар пользователя Связист
Логик, я вижу вы в отличии от Narthex разбираетесь в банкоматах. Только разъясните мне, пжл., логически фразу Narthex "в зависимости от нагрузки и количества подключенных аппаратов". Что это за нелинейная, возможно дифференциальная зависимость, по которой от количества и нагрузки принимают решение по выделенке подключать банкоматы или использовать телефонный канал тональной частоты?
Аватар пользователя Логик
"в зависимости от нагрузки и количества подключенных аппаратов".

Расколим на 2: "в зависимости от нагрузки"

Если банкомат будет использоваться не непрерывно (ну, мало народу обналивается в этом месте), то, его можно подключить по невыделеной линии. - Пускай каждый раз дозванивается в банк, при наличии клиента с карточкой.

"и количества подключенных аппаратов" - когда всем банкоматам не хватает выделенки. Ну, например, поставили два банкомата "Белкарт" - один подключили по выделенке, а второй по обычной телефонной линии. Система будет работать. ;-)

Страницы