Czasem czytając historie o różnych przestępstwach aż trudno nie złapać się za głowę. Czy uwierzycie, że można „przepchnąć” autoryzację nieaktywnej karty płatniczej, podając kasjerowi wymyślony kod? Podobno działa to w USA.
Co prawda amerykański system bankowy jest dużo mniej nowoczesny niż europejski i karty płatnicze z chipem dopiero są wprowadzane po wielkiej fali kradzieży danych z pasków magnetycznych, ale żeby można było dzięki odrobinie improwizacji wymusić autoryzację płatności nieaktywną kartą płatniczą, to już przechodzi ludzkie pojęcie. A jednak.
Metoda prosta jak budowa cepa
Amerykańki serwis Tampa Bay donosi, że organy ścigania ujęły 24-letniego Sharrona Laverne Parrisha, który został oskarżony o wyłudzenie sprzętu wartego ponad 300 tysięcy dolarów z kilkudziesięciu sklepów Apple w szesnastu stanach. Oprócz zamiłowania do produktów ze znakiem jabłuszka Parrish wynajmował także samochody oraz pokoje hotelowe, korzystając z tego samego prostego patentu. W sieci znalazł się akt oskarżenia, w którym możemy znaleźć opis oszustwa.
W momencie przeprowadzania transakcji kartą płatniczą w sklepowym terminalu, wysyłane jest zapytanie do banku o autoryzację transakcji, który odpowiada albo 6-cyfrowym kodem autoryzującym, albo informacją o braku możliwości przeprowadzenia transakcji. Parrish odkrył, że sprzedawca ma jednak możliwość „przepchnięcia” transakcji (forced post) jeśli poda w terminalu 6-cyfrowy kod autoryzujący, otrzymany od banku innym kanałem. Nasz bohater posługiwał się czterema różnymi kartami, przypisanymi do nieaktywnych rachunków bankowych. Kiedy jego bank z oczywistych powodów odrzucał transakcję, Parrish udawał, że dzwoni do banku a następnie przekonywał kasjera, by ten wpisał na terminalu kod podany rzekomo przez telefon. Zazwyczaj kod taki otrzymuje kasjer, który sam wykonuje połączenie do banku na prośbę klienta. Kawał polegał jednak na tym, że poprawność tego kodu nie jest w żaden sposób weryfikowana pod kątem autoryzacji transakcji – służy on jedynie rozliczeniu sprzedawcy z bankiem. Parrish podawał zatem dowolne wymyślone przez siebie 6 cyfr i wychodził z kolejnym transportem iPhonów.
Co ciekawe, przynajmniej w USA jest to dość powszechna praktyka – Tampa Bay podaje, ze na początku tego roku pewna Amerykanka dokonała w ten sam sposób nieautoryzowanych transakcji za ponad pół miliona dolarów. Co gorsza dla sprzedawców, w sytuacji ręcznego wymuszenia zatwierdzenia transakcji to sprzedawca ponosi odpowiedzialność za transakcję, nie bank. Parrish został ujęty dzięki pracownikom Apple, którzy zauważyli jego oszustwa i sięgnęli po odpowiednie nagrania z kamer bezpieczeństwa. Sposób był sprytny, jednak jego wdrożenie już niekoniecznie.
Wisienka na torcie
Smaku całej historii dodaje fakt, że akt oskarżenia został opublikowany w ocenzurowanej formie – czarnymi prostokątami przykryto kluczowe fragmenty, opisujące ilość cyfr w kodzie autoryzacyjnym. Jeśli jednak pobierzecie dokument PDF a następnie wyciągnięcie z niego oryginalne pliki graficzne (np. na tej stronie) to zauważycie, że czarne paski były jedynie warstwą nałożoną na oryginalny, możliwy do odzyskania obrazek. Powodzenia.
PS. Jeśli czyta to ktoś zajmujący się autoryzacjami kart kredytowych, to niech nas uspokoi pisząc, ze takie rzeczy tylko w USA..
Komentarze
Takie rzeczy tylko w USA. A tak naprawdę, to jedynie mam taką nadzieję. Gość gdyby przemyślał cały ten plan i zrealizował go bez uczestnictwa samego siebie, prawdopodobnie po kilki tygodniach leżałby do góry brzuchem na jakiejś wyspie i popijał drinki z parasolką
Afroamerykanin – przypadek?
ani euroamerykanie ani azjatoamerykanie nie są w cale lepsi
Jego rodzicie prawdopodobnie byli afroamerykanami wiec to nie przypadek ze on również jest.
A jak jest w Polsce ? Np. w Biedronce ? Ostatnio zmieniłem PIN do karty i czasami zdarz mi się wykorzystać stary. Wtedy sprzedawca prosi o przeciągnięcie karty przez boczny czytnik magnetyczny. Potem powinien zażądać podpisu i porównać go z tym na karcie niestety nic takiego się nie dzieje. Udało mi się tak zapłacić w 3 sklepach :)
Różnie bywa, mam magnetyczny i czasami sprawdzają podpis czasami nie. Podpis właściwie mam starty (końcówka ważności) wiec nawet jak sprawdzaja i podpisuję się byle jak to przechodzi. 2 razy dowodem potwierdzenie było tylko
Taaaaa, nie ma to jak nakupić w Biedronce na 300tys. $ \o/
codziennie… mały fraudzik!
o.0
W naszym fajnym kraju takie numery sa jak najbardziej mozliwe. np na stacjach orlenu personel moze wymusic w systemie akceptacje transakcji offline. opcja nazywa sie 'karta bankowa recznie’ i wymaga jedynie podania numerow MID (UID) i TID (POS ID), numeru karty oraz kodu autoryzacji. kod autoryzacji oczywiscie moze byc dowolny i co ciekawe nr karty nie musi nawet byc rzeczywisty. wystarczy ze poczatek (4 pierwsze cyfry) sie zgadza z szablonem.
Bez patrzenia w googla, wymiencie budowe cepa. Hehe… Dalej proste?
Trzon, międzycepie i cep właściwy :)
Bez googli :)
„ilość cyfr”? Oh c’mon!
Co dziwnego widzisz np. w 2kg cyfr? ;P
wlasciwie wykorzystal luke producent systemu platniczego powienien zaplacic
Na co dzien mam stycznosc z zabezpieczeniami kart bankomatowych. Standard EMV (powszechnie stosowany w europie) jest odporny na takie glupoty ;) Takze spokojnego snu.