26.02.2015 | 20:24

Adam Haertle

Oszuści mogą nielegalnie ładować karty do myjni automatycznych BP

W sieci dostępny jest poradnik opisujący krok po kroku proces ładowania dowolną kwotą karty na automatyczną myjnię BP. Do przeprowadzenia całej operacji wystarczy jedynie telefon obsługujący protokół NFC oraz prosta aplikacja.

W nawiązaniu do naszych niedawnych wpisów o hakowaniu myjni samochodowych oraz kart studenckich otrzymaliśmy informację łączącą te dwa tematy. Jeden z Czytelników podesłał nam poradnik opublikowany kilka miesięcy temu na forum ToRepublic we wpisie dostępnym jedynie dla zasłużonych użytkowników. Opisuje on dziecinnie prostą metodę nielegalnego zwiększania salda kart BP na myjnię automatyczną.

Zupełnie jak ZTM

Błędy w kartach zbliżeniowych w standardzie Mifare znane są od co najmniej 5 lat. Mimo ich pozornych zabezpieczeń odczytanie kluczy umożliwiających manipulację zawartością karty jest kwestią kilku sekund z odpowiednim sprzętem i oprogramowaniem. Boleśnie odczuł to m. in. warszawski ZTM, zmuszony niedawno do aktualizacji systemu obsługi kart miejskich by – jak na razie skutecznie – wyeliminować oszustów samodzielnie przedłużających ważność kontraktów lub ładujących karty dowolna kwotą na opłaty parkingowe.

Oprócz warszawskiego ZTMu podobne rozwiązania nadal funkcjonują w co najmniej kilku dużych firmach, w tym najwyraźniej także w sieci stacji benzynowych BP. Karta oferowana przez firmę umożliwia korzystanie z około 200 automatycznych myjni tej sieci. Można ją zasilać dowolną kwotą, która następnie jest wykorzystywana do opłacenia usługi mycia pojazdu.

Ładowanie gratis

We wrześniu zeszłego roku moderator forum ToRepublic, ukrywający się pod pseudonimem jebacztm i posiadający sporą wiedzę na temat działania kart Mifare opublikował szczegółowy (i dopracowany graficznie) poradnik opisujący proces nielegalnego ładowania kart BP za pomocą prostej aplikacji na Androida. Początek poradnika wygląda tak:

Początek instrukcji

Początek instrukcji

Przeprowadzenie operacji wymaga od użytkownika jedynie posiadania rzeczonej karty, telefonu z Androidem obsługującego protokół NFC oraz odpowiedniej aplikacji, która potrafi odczytać zawartość karty, umożliwić jej modyfikację w pamięci telefonu oraz zapis zmodyfikowanej treści ponownie na kartę. Pierwszym ważnym etapem jest podanie „tajnych” kluczy umożliwiających odczyt oraz zapis informacji znajdujących się na karcie. Klucze te muszą być wcześniej wydobyte z karty za pomocą specjalnego oprogramowania wykorzystującego błąd w protokole używanym w komunikacji z kartą. Klucze są najczęściej takie same dla każdej karty danej firmy.

Klucze szyfrujące

Klucze szyfrujące

Po wpisaniu do aplikacji kluczy możemy odczytać zawartość karty.

Odczyt karty

Odczyt karty

Następnie w pamięci telefonu możemy zmodyfikować odpowiedni fragment zapisu. Wiedza o tym, który fragment i w jaki sposób należy zmodyfikować, wymagała zapewne wielu eksperymentów, ponieważ kwota, którą dysponuje właściciel karty, nie jest zapisana wprost, a za pośrednictwem odpowiedniego algorytmu weryfikującego jej poprawność. Algorytm ten jednak nie jest zbyt wyrafinowany a autor poradnika przedstawia dwa warianty nowego salda karty: 150 PLN lub 3 900 000 PLN. Oczywiście znając algorytm można zasilić kartę dowolną inna kwotą.

Zapis nowego stanu karty

Zapis nowego stanu karty

Jak więc widać cały proces nie jest skomplikowany i oszustowi załadowanie karty wybraną kwotą nie zajmie więcej niż kilka minut. Wydaje się, że sposób opisany w poradniku nie trafił jeszcze do publicznego obiegu. Krótkie przeszukiwanie sieci nie zidentyfikowało także hurtowych ofert sprzedaży kart na myjnię. Być może skala problemu jest niewielka – tego rodzaju usługa ma mniejszy potencjał dla oszustów niż karty miejskie, ponieważ ma mniej potencjalnych odbiorców a ewentualni klienci mogą być mniej skorzy do zakupów na czarnym rynku.

Nie wiemy jeszcze, jak do problemu podchodzi firma BP – wysłaliśmy w tej sprawie wczoraj nasze pytania, lecz nadal czekamy na odpowiedzi. Czytelnikom polecamy uważać na podejrzanie atrakcyjne oferty zakupu kart na myjnię BP – mogą one być nielegalnie modyfikowane przez oszustów.

Aktualizacja 2015-02-27: Otrzymaliśmy oświadczenie firmy BP o następującej treści:

Proceder polegający na próbach nielegalnego doładowania kart do myjni ręcznej (a nie myjni automatycznej) na stacjach BP jest nam znany  i wykonaliśmy już szereg czynności uniemożliwiających i ograniczających takie działania. Każde użycie karty do myjni ręcznej na stacjach BP, doładowanej w sposób nielegalny, jest rejestrowane a same karty blokowane. Poczyniliśmy również działania mające na celu zidentyfikowanie użytkowników myjni posługujących się kartami z nielegalnie doładowanym kredytem.   Aktywnie monitorujemy też  publikacje na ten temat. W naszej ocenie nie tylko samo fałszowanie kart, ale również zamieszczanie w Internecie informacji  instruktażowych  może być uznane za działanie niezgodne z prawem, podlegające sankcjom karnym.
Powrót

Komentarze

  • 2015.02.26 20:29 p7p

    Pozew masowy za 3….2….1….

    Odpowiedz
    • 2015.02.26 20:42 Adam

      Ale kto kogo?

      Odpowiedz
      • 2015.02.26 20:53 ginterhauser

        Torepublic pozwie masowo Z3S xD

        Odpowiedz
  • 2015.02.26 20:52 kez87

    „Jeden z Czytelników podesłał nam poradnik opublikowany kilka miesięcy temu na forum ToRepublic we wpisie dostępnym jedynie dla zasłużonych użytkowników” – jak widać nie do końca zaufanych, skoro czarne kapelusze ujawniają szczegóły na temat podatności tego typu Ale w sumie fajny argument przeciwko bzdurnej gadce pana Łąckiego na temat bugbounty w temacie o paczkomatach. ;)

    „Czytelnikom polecamy uważać na podejrzanie atrakcyjne oferty zakupu kart na myjnię BP – mogą one być nielegalnie modyfikowane przez oszustów.” – raczej nielegalnie modyfikowane UMOŻLIWIAJĄC POPEŁNIENIE świadomego lub nieświadomego oszustwa. Oczywiście klient kupujący taką kartę może zostać oszukany (pusta karta ;) ), ale raczej oszukana zostanie stacja/myjnia. Rzecz też w tym,że to taki klient może (jeśli mu udowodnią korzystanie z takiej karty,zwłaszcza korzystanie świadome) ponieść odpowiedzialność karną…

    W dodatku, przy obecnym prawie posiadanie takich kart lub ich „kolekcjonerskie” sprzedawanie zapewne jest możliwe i to bez sankcji karnych. Czy jest tak rzeczywiście należałoby zapytać jakiegoś prawnika. Zresztą, jeśli nawet to się upowszechniłoby – BP i tak odbije sobie na paliwie które mamy bardzo drogie.

    Odpowiedz
  • 2015.02.26 21:04 dadad

    A po co ten GTR? :)

    Odpowiedz
    • 2015.02.26 21:16 toja

      No żeby go umyć, helllooooooo :-)

      Odpowiedz
    • 2015.02.26 22:07 linoskoczek

      Jak masz kartę na myjnię to musisz do niej dokupić Nissana GTR, żeby mieć co umyć. Logiczne.

      Odpowiedz
    • 2015.02.27 03:58 mit

      żeby spier…. po umyciu :)

      Odpowiedz
  • 2015.02.27 08:03 Rafal

    Skoro mają klucze A i B do odczytu i zapisu Mifare to mogliby chłopcy napisać własny soft na adka który ma uprawnienia do NFC y od razu będzie zapisywać dane na karcie, a nie pokazywać jak to zrobić w sofcie dostępnym poprzez zmianę hexów.
    Tak naprawdę przez to że „bariera wejścia” jest dość duża i nie ma gotowej appki która zrobi wszystko za usera – tak jak swego czasu w przypadku kart mpk w kilku miastach – nie ma wielkiego szumu – i zapewne strat BP.

    Odpowiedz
    • 2015.02.27 09:37 Janusz

      Andrzeje nie robiły, ale Andrzeje znały jakiegoś Pszemka, który już doładowywał i interes się kręcił.

      Odpowiedz
  • 2015.02.27 08:22 Dev0

    LOL, aż sprawdzę jakie k**** lecą na ToRepublic :)

    Odpowiedz
  • 2015.02.27 10:34 Ninja

    Skoro potrzebny jest MCT, to znaczy, że hack działa jedynie na karty Mifare Classic. Dlatego nie ma wielkiej hecy.

    Odpowiedz
  • 2015.02.27 12:18 Marcin

    Dlaczego piszecie o tym teraz skoro ten poradnik hula po darknecie już tyle czasu?
    Nie mówcie, że nie widzieliście skoro sami macie konto na ToRepublic ;)
    A no i na forum Zdzisława jest on dostępny dla każdego za darmo, więc tym bardziej powinno być spore zainteresowanie tym ;)

    Odpowiedz
    • 2015.02.27 12:37 Adam

      Nasze konto na TR nie ma uprawnień do tagu HIDE, a do Zdzisława nie zaglądamy.

      Odpowiedz
      • 2015.02.27 15:10 anonim_nie_dlaZ3S

        Bo Zdzisław to honeypot milicji ;)

        Odpowiedz
    • 2015.03.02 18:39 timdi

      Pod jakim adresem można teraz znaleźć PBM?

      Odpowiedz
  • 2015.02.27 12:25 Marcin

    No i drugie pytanie- czy można prosić o Wasz komentarz dotyczący ich oświadczenia?
    Czy możliwe jest, aby wykryli, że dana karta została doładowana w sposób nielegalny?
    Przecież jeżeli dane na karcie zapisane są zgodnie z algorytmem to jaka jest różnica między kartą doładowaną za 150zł a kartą z nabitym sztucznie 150zł?

    Odpowiedz
    • 2015.02.27 12:36 Adam

      Scenariusz jest możliwy. Mogą sprawdzać online z bazą przechowującą informacje o kartach i ich aktualnym, znanym firmie saldzie.

      Odpowiedz
  • 2015.02.27 13:24 anonim_nie_dlaZ3S

    „ale również zamieszczanie w Internecie informacji instruktażowych może być uznane za działanie niezgodne z prawem, podlegające sankcjom karnym.”
    .
    Akurat!
    .
    Chyba w sądach saskich … w Polsce na szczęście żaden sędzia (chyba, że kupiony, a przynamniej mam taką nadzieję) nie skaże za same „mówienie”.
    .
    Przykład? Pozamykajmy wszystkich instruktorów Krav-Maga, przecież uczą jak pobić człowieka, BA, nawet zabić!

    Odpowiedz
    • 2015.02.27 21:43 kez87

      „W naszej ocenie nie tylko samo fałszowanie kart, ale również zamieszczanie w Internecie informacji instruktażowych może być uznane za działanie niezgodne z prawem, podlegające sankcjom karnym.” – no i dobrze,to teraz pytanie co na to prawnicy.Oceniać to sobie PRowcy mogą,ale żyjemy w takim kraju,gdzie można legalnie robić podróbki dowodów osobistych. Podobno kiepskiej jakości i podobno miały zainteresować się tym służby,ale jakoś o efektach do tej pory nie czytałem.

      Gdyby zresztą sam „instruktaż” był karalny to redakcja Z3S, niebezpiecznika, sekuraka itd – i całkiem sporo legalnych i uczciwych pentesterów już dawno nic by nie napisało. No może poza grypsami… Choć może przerobienie karty eksperymentalnie (jeśli karta jest własnością BP,a zapłacone pieniądze to kaucja) mogłoby być ukarane.

      Samo BP to korporacja z branży paliwowej.Mówią wam coś #Irak,#Afganistan, #Katastrofa w zatoce meksykańskiej, a możliwe,że i #Ukraina ? To jest jedna z tych firm,dla których (mimo że jestem bezrobotny) nie byłbym skłonny pracować.

      Oczywiście ToRepublic to zbieranina różnego elementu i nie popieram wyłudzeń,żeby była jasność,ale jak dla mnie… chyba wiecie już co o BP myślę…

      Odpowiedz
      • 2015.02.28 09:35 Duży Pies

        Widzę że jesteś uświadomiony. Ja jako outsider, mam pełną świadomość destrukcji jakich dopuszczają się korpa. Jeśli masz czas i dostęp, to polecam Ci „Czarną listę firm”: http://lubimyczytac.pl/ksiazka/60153/czarna-lista-firm Otwiera oczy i można zobaczyć Świat w prawdziwych i ciemnych barwach, tych których nie zobaczysz w przekłamanych kolorowych magazynach.

        Odpowiedz
        • 2015.02.28 18:58 kez87

          Och ja nie jestem aż tak lewicowy.Już nie. ;) Tak czy inaczej pewnych numerów typu Bhopal czy przypominających mi politykę przedunijnego lewka nr 2 w koronie z Brukseli w ojczyźnie groźniej odmiany ebola (trochę historii pewnie znasz,więc po przemyśleniu dowiesz się o co chodzi,a PRowcy będą mieć pod górkę) jednak nie akceptuję.

          Odpowiedz
          • 2015.02.28 23:08 Duży Pies

            Od kiedy antyglobalizm = lewica ?
            No zgodzę się że są blisko, ale to nie to samo.

    • 2015.03.01 08:53 Duży Pies

      Krav-Maga jest niebezpieczna, ale cholernie skuteczna.
      Warto trenować dla zdrowia i żeby obronić siebie albo bliską osobę!

      Odpowiedz
      • 2015.03.01 10:40 kez87

        Krav-Maga jest chyba przereklamowana,żydzi po prostu mają (jak zwykle) świetny marketing. Choćby rosyjskie Sambo czy nawet polski Combat 56 wcale chyba nie są gorsze pod względem potencjalnej zabójczości – a to systemy stworzone dla komandosów tak samo.Zresztą, tak naprawdę, wszystkie tzw. „sztuki walki”, nawet „niewinne ćwiczenia” Tai Chi są śmiertelnie niebezpieczne, a chyba z połowa tych sformalizowanych „sztuk walki” to pierwotnie element szkolenia ninja. A kim byli ninja – chyba każdemu się wydaje,że wie,ale niekoniecznie każdy rozumie. Jeśli odrzucić mity i marketing – to przecież były średniowieczne japońskie siły specjalne, istniejące w czasach gdy o SAS,SEALS czy naszym GROMie jeszcze nikomu się nie śniło…

        Odpowiedz
        • 2015.03.01 14:20 Duży Pies

          Każdy sport walki może być niebezpieczny. Chodziło mi o to że KravMaga jest pod tym względem niebezpieczna że stosuje różne pchnięcia i uderzenia na okolice gardła, oczu, itp.
          .
          Medyk sądowy opowiadał mi, że robił sekcję zwłok człowiekowi który brał udział w bójce i któremu zatrzymała się akcja serca od… uderzenia w gałki oczne. Przeciwnik wbił mu gałki oczne głęboko do oczodołu i jego serce się zatrzymało.
          Akurat w KravMadze tego typu uderzenia są używane. Dlatego uważam że jest niebezpieczna, bo dość szybko można zabić.

          Odpowiedz
      • 2015.03.02 15:12 Jerema

        Iluzja bezpieczeństwa.

        Odpowiedz
  • 2015.02.27 14:56 ropucha

    Następnym razem BP o niczym nie informować. Ja od dziś bojkotuję BP.

    Odpowiedz
    • 2015.03.10 15:02 anonim_nie_dlaZ3S

      A ja nie bojkotuję, mają dobre hot-dogi i ręczniki za punkty.

      Odpowiedz
  • 2015.03.23 10:44 dupa.8

    Eh, jak ja lubię tą głupią modę by cenzurować tego typu wpisy. Czyli: wiemy, powiemy wam że wiemy, ale wy się nie dowiedziecie.

    Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Oszuści mogą nielegalnie ładować karty do myjni automatycznych BP

Komentarze