Oszuści mogą nielegalnie ładować karty do myjni automatycznych BP

dodał 26 lutego 2015 o 20:24 w kategorii Prawo  z tagami:
Oszuści mogą nielegalnie ładować karty do myjni automatycznych BP

W sieci dostępny jest poradnik opisujący krok po kroku proces ładowania dowolną kwotą karty na automatyczną myjnię BP. Do przeprowadzenia całej operacji wystarczy jedynie telefon obsługujący protokół NFC oraz prosta aplikacja.

W nawiązaniu do naszych niedawnych wpisów o hakowaniu myjni samochodowych oraz kart studenckich otrzymaliśmy informację łączącą te dwa tematy. Jeden z Czytelników podesłał nam poradnik opublikowany kilka miesięcy temu na forum ToRepublic we wpisie dostępnym jedynie dla zasłużonych użytkowników. Opisuje on dziecinnie prostą metodę nielegalnego zwiększania salda kart BP na myjnię automatyczną.

Zupełnie jak ZTM

Błędy w kartach zbliżeniowych w standardzie Mifare znane są od co najmniej 5 lat. Mimo ich pozornych zabezpieczeń odczytanie kluczy umożliwiających manipulację zawartością karty jest kwestią kilku sekund z odpowiednim sprzętem i oprogramowaniem. Boleśnie odczuł to m. in. warszawski ZTM, zmuszony niedawno do aktualizacji systemu obsługi kart miejskich by – jak na razie skutecznie – wyeliminować oszustów samodzielnie przedłużających ważność kontraktów lub ładujących karty dowolna kwotą na opłaty parkingowe.

Oprócz warszawskiego ZTMu podobne rozwiązania nadal funkcjonują w co najmniej kilku dużych firmach, w tym najwyraźniej także w sieci stacji benzynowych BP. Karta oferowana przez firmę umożliwia korzystanie z około 200 automatycznych myjni tej sieci. Można ją zasilać dowolną kwotą, która następnie jest wykorzystywana do opłacenia usługi mycia pojazdu.

Ładowanie gratis

We wrześniu zeszłego roku moderator forum ToRepublic, ukrywający się pod pseudonimem jebacztm i posiadający sporą wiedzę na temat działania kart Mifare opublikował szczegółowy (i dopracowany graficznie) poradnik opisujący proces nielegalnego ładowania kart BP za pomocą prostej aplikacji na Androida. Początek poradnika wygląda tak:

Początek instrukcji

Początek instrukcji

Przeprowadzenie operacji wymaga od użytkownika jedynie posiadania rzeczonej karty, telefonu z Androidem obsługującego protokół NFC oraz odpowiedniej aplikacji, która potrafi odczytać zawartość karty, umożliwić jej modyfikację w pamięci telefonu oraz zapis zmodyfikowanej treści ponownie na kartę. Pierwszym ważnym etapem jest podanie „tajnych” kluczy umożliwiających odczyt oraz zapis informacji znajdujących się na karcie. Klucze te muszą być wcześniej wydobyte z karty za pomocą specjalnego oprogramowania wykorzystującego błąd w protokole używanym w komunikacji z kartą. Klucze są najczęściej takie same dla każdej karty danej firmy.

Klucze szyfrujące

Klucze szyfrujące

Po wpisaniu do aplikacji kluczy możemy odczytać zawartość karty.

Odczyt karty

Odczyt karty

Następnie w pamięci telefonu możemy zmodyfikować odpowiedni fragment zapisu. Wiedza o tym, który fragment i w jaki sposób należy zmodyfikować, wymagała zapewne wielu eksperymentów, ponieważ kwota, którą dysponuje właściciel karty, nie jest zapisana wprost, a za pośrednictwem odpowiedniego algorytmu weryfikującego jej poprawność. Algorytm ten jednak nie jest zbyt wyrafinowany a autor poradnika przedstawia dwa warianty nowego salda karty: 150 PLN lub 3 900 000 PLN. Oczywiście znając algorytm można zasilić kartę dowolną inna kwotą.

Zapis nowego stanu karty

Zapis nowego stanu karty

Jak więc widać cały proces nie jest skomplikowany i oszustowi załadowanie karty wybraną kwotą nie zajmie więcej niż kilka minut. Wydaje się, że sposób opisany w poradniku nie trafił jeszcze do publicznego obiegu. Krótkie przeszukiwanie sieci nie zidentyfikowało także hurtowych ofert sprzedaży kart na myjnię. Być może skala problemu jest niewielka – tego rodzaju usługa ma mniejszy potencjał dla oszustów niż karty miejskie, ponieważ ma mniej potencjalnych odbiorców a ewentualni klienci mogą być mniej skorzy do zakupów na czarnym rynku.

Nie wiemy jeszcze, jak do problemu podchodzi firma BP – wysłaliśmy w tej sprawie wczoraj nasze pytania, lecz nadal czekamy na odpowiedzi. Czytelnikom polecamy uważać na podejrzanie atrakcyjne oferty zakupu kart na myjnię BP – mogą one być nielegalnie modyfikowane przez oszustów.

Aktualizacja 2015-02-27: Otrzymaliśmy oświadczenie firmy BP o następującej treści:

Proceder polegający na próbach nielegalnego doładowania kart do myjni ręcznej (a nie myjni automatycznej) na stacjach BP jest nam znany  i wykonaliśmy już szereg czynności uniemożliwiających i ograniczających takie działania. Każde użycie karty do myjni ręcznej na stacjach BP, doładowanej w sposób nielegalny, jest rejestrowane a same karty blokowane. Poczyniliśmy również działania mające na celu zidentyfikowanie użytkowników myjni posługujących się kartami z nielegalnie doładowanym kredytem.   Aktywnie monitorujemy też  publikacje na ten temat. W naszej ocenie nie tylko samo fałszowanie kart, ale również zamieszczanie w Internecie informacji  instruktażowych  może być uznane za działanie niezgodne z prawem, podlegające sankcjom karnym.