Ataki ATM Jackpotting, choć bardzo spektakularne, wciąż jednak stanowią mniejszość wśród wszystkich ataków na bankomaty. Wielokrotnie też opisywane były techniki polegające na rejestrowaniu informacji z karty poprzez skimmery. Jednakże to także są wyrafinowane sposoby kradzieży pieniędzy.
Warto zwrócić uwagę na inne znacznie bardziej popularne metody okradania bankomatów, czy bezpośrednio ich klientów. Przestępcy od lat stosują dwie, bardzo proste w realizacji i podobne do siebie techniki wykradania gotówki lub kart płatniczych.
Przechwytywanie kart (Card Trapping) jest definiowane jako nieuprawnione manipulowanie przy urządzeniu (ATM), które powoduje wstrzymanie karty płatniczej w bankomacie. Przestępcy montują specjalną nakładkę na otwór, w którym umieszczana jest karta lub mechanizm blokujący bezpośrednio wewnątrz otworu. Karta płatnicza zatrzymywana jest wewnątrz urządzenia, a po odejściu klienta, przestępcy wyjmują ją z bankomatu. Numer PIN jest zdobywany za pomocą podglądania lub rejestrowania wypłacającego przy użyciu dodatkowej kamery.
Podobną w swoim działaniu metodą okradania użytkowników bankomatów jest przechwytywanie gotówki. Cash Trapping jest to nieuprawniona modyfikacja działania podajnika gotówki w bankomacie, uniemożliwiająca pobranie gotówki przez klienta. Klienci realizują wypłatę, która z punktu widzenia funkcjonowania systemu jest zrealizowana prawidłowo, a rachunek bankowy zostaje obciążony właściwą kwotą. System bankomatu zachowuje się tak jakby wydał gotówkę, lecz klient jej nie otrzymuje.
Istnieją dwie metody zatrzymanie gotówki:
- montaż zewnętrznego urządzenia blokującego tuż nad podajnikiem gotówki,
- montaż wewnętrznego urządzenia bezpośrednio w dyspenserze gotówki.
Zewnętrzne urządzenie blokujące imituje rzeczywisty mechanizm wydający gotówkę, który zasłania oryginalny i w trakcie transakcji nie otwiera się, jednocześnie blokując gotówkę, którą przekazał podajnik do oryginalnego otworu. Atrapa musi być montowana jest przed każdą transakcją i po każdym użyciu musi być przez przestępców opróżniana i zakładana ponownie.
Rozwiązania montowane wewnątrz podajnika gotówki i zatrzymują pieniądze zanim dotrą do otworu z którego klient może je pobrać. „Pułapka” ta jest niewidoczna dla osoby wypłacającej i może gromadzić wypłaty wielu klientów. Banknoty gromadzą się w dyspenserze, a przestępcy wydobywają je w momencie, gdy nikogo nie ma w pobliżu urządzania.
Do montażu urządzeń przechwytujących oraz wydobywania gotówki wykorzystują specjalne „widelce” (jak na zdjęciu).
European Association for Secure Transactions w swoich raportach podaje, że liczba przestępstw bankomatowych stale rośnie – 15% rok do roku, przy wzroście start finansowych o 19%. Jednoznacznie wskazuje, iż rosnący trend budowany jest głównie przez łatwe ataki fizyczne typu przechwytywanie kart lub gotówki. Jeśli zatem bankomat nie wyda Wam pieniędzy lub karty to zróbcie dokładne fotografie całego bankomatu by w razie potrzeby udowodnić, że padliście ofiarą podobnej sztuczki – zawsze jest szansa, że utrwalicie na nich modyfikacje przestępców.
Komentarze
Przy bankomatowych fraudach warto byłoby się pokusić o jakąś dodatkową analizę. Mam na myśli cechę „umiejscowienie bankomatu” w topologicznej (miejskiej/podmiejskiej/wiejskiej) przestrzeni, które pozwalają na względnie łatwe montowanie/demontowanie tych nakładek oraz wyciąganie pieniędzy przez złodziei. Czyli jakaś geolokalizacja na podstawie pewnych cech.
.
Podam prosty przykład: wystarczy na podkład mapowy wrzucić lokalizacje bankomatów które są zamontowane w jakiś małych miejscowościach, gdzie pomoc przyjdzie późno; montowanych „na łapach” do podłoża, gdzie łatwo taki bankomat wytargać; albo montowanych w ścianie gdzie z kolei łatwo wyrwać go ściany, itp.
.
Po prostu są pewne cechy umiejscowienia i sposobu montażu bankomatu które sprawiają że staje się on atrakcyjny dla przestępców. Można z duży prawdopodobieństwem i wyprzedzeniem wiedzieć który bankomat będzie następny. Można wtedy coś z tym zrobić, zamiast czekać aż obrobią następny.
.
Do geowizualizacji/geolokalizacji nie trzeba drogich programów mapowych, polecam opensourcowy QGIS, dostępny na wiele platform. Helion wydał dobrą książkę do jego obsługi napisaną przez ciekawego człowieka (absolwenta geografii i psychologii) – książkę polecam!
Proponuję umieszczać na końcu akapit z dobrą radą, co zrobić w wypadku kiedy to Ciebie spotka taka sytuacja.
1) Właśnie sprawdziłem i apka mojego banku, pozwala na zablokowanie karty. Jeśli bankomat jej nie oddał (lub z innego powodu straciliście do niej dostęp), trzeba ją zablokować. Z tego co wiem, ING pozwala na tymczasowe zablokowanie karty (jeśli np. zostawiliście ją w miejscu X i za tydzień będziecie ją mogli odebrać).
2) Jak bankomat nie wydał pieniędzy, dzwonisz do operatora bankomatu (zazwyczaj jest naklejka z numerem) i informujesz o sprawie, przy okazji też warto poinformować o tym bank. Gorzej że te infolinie nie są specjalnie szybkie i kiedyś czekałem kilka minut na połączenie. Warto też obmacać bankomat (jak w artykule). U mnie się okazało, że banknot dało się wyjąć (przypuszczam uszkodzony podajnik). Niestety nie zrobiłem zdjęcia:(
Pułapka klejowa się zwie ten atak i jest baaardzo stary.
Oo, przypomina mi to zatrzymywanie sytuację, jak kradli karty telefoniczne. W szczelinie ukryta była zapałka, która pozwalała na włożenie karty, wykonanie połączenia, ale niestety nie chciała ona potem wyjść.
Dobrze, że miałem coś do dłubania, bo inaczej i moją kartę by capnęli.
Wrocław Dworzec Główny.
Najlatwiej w sklepach, typowe cechy:
– ledwo widoczny otwór do wydawania banknotów i bardzo nisko położony
( klient moze nie zauważyć reszty, a jesli nie liczy pieniedzy, to moze nie wiedzieć o reszcie )
– otwór podatny na zwijanie pieniedzy między rolki
( klient zdesperowany brakiem czasu i brakiem obsługi w końcu porzuci pieniądze których nie może wyciągnąć ).
Morał:
– Maszyny sklepowe najlepiej sobie dają rade z wydawaniem drobnych monet,
z banknotami mają problem ( a to dziwne, bo bankomaty działają lepiej, bynajmniej ja ze swoim nigdy nie mialem tyle problemów, co z tym ustrojstwem w swoim sklepie ).
– Jedyny plus z tych maszyn, to fakt że rozładowują długie kolejki w sklepach.
Czyli jednak wypłaty/wpłaty najlepiej robić Blikiem. Przynajmniej wszystkie wektory ataku „na kartę” odpadają. Zostaje ewentualnie przechwytywanie gotówki.
Blik pod tym względem jest lepszym rozwiązaniem, ale z drugiej strony jeśli dojdzie do przechwycenia gotówki-karty mają przyjaźniejszy system reklamacji (chargeback) ;)