Бывает такое, что привычная, казалось бы, вещь, встречается с такой
изюминкой, после которой начинаешь смотреть на эту вещь совершенно
иначе. Так случилось и у меня… пару лет снимал деньги с карточки в
сотне мест и бед не знал… а тут приехал в один городок и в первом же
банкомате мне повстречалась эта самая изюминка. Причем место и
обстоятельство были такими, что за пару мгновений пищи для размышления
и впечатлений накопилось недели на две вперед.
Я почему-то думал, что это может быть только в стране вечнозеленых
президентов, а у нас – просто нет кадров, чтобы заниматься этим.
Оказывается, я глубоко ошибался. Просто не каждый день встретишь то,
про что читал только в журналах/интернете или видел в фильмах [ кстати,
не помню ни одного фильма, где бы фигурировал скиммер :) ].
Что такое скиммер? Если сделать запрос в яндексе, то из первых строк
станет ясно, что это какой-то насос для очистки бассейнов. Но сами
посудите – насос и банкомат… что-то не то. Хотя, насосом качать бабки
из банкомата – вполне )
Не вдаваясь в историю происхождения названия, скиммер – это небольшое
устройство, которое может помочь злоумышленникам воспользоваться Вашей
пластиковой карточкой.
Те, кто в теме, сейчас наверное читают и хихикают над моей трактовкой, но это первая трактовка, что пришла мне в голову.
Скиммер обычно состоит из двух элементов – накладной клавиатуры (пин-пад) и сканера магнитной ленты карты.
Пин-пад аккурат размещается поверх родной клавиатуры банкомата и
позволяет злоумышленникам узнать Ваш пин-код (для этого так же может
использоваться миниатюрная камера), сканер же вешается поверх щели
приема карт. Причем, маскировка делает свое грязное дело.
Вы вставляете карточку в банкомат (не подозревая, что вставляете ее в
сканер карт злоумышленников, после которого карточка попадает в нужную
Вам щель банкомата) – вуаля, данные о вашей карте (дамп) уже либо на
устройстве хранения данных в сканере, либо по беспроводному интерфейсу
уже переданы кому-то. Дальше Вы вводите пин-код, который так же либо
сохраняется, либо сразу отправляется. Все, для того чтобы пользоваться
вашими деньгами, остается всего лишь изготовить дубликат карты, что
делается, судя по всему, достаточно легко – используя дамп,
программируется безликий кусок пластика и готово.
Кстати, гораздо хуже, если никакого накладной клавиатуры на устройстве
приема карт банкомата нет или просто кто-то палит, как вы вводите
пин-код. Еще хуже, если при этом вы вышли из своего намытого до
зеркального блеска Audi Q7 (99, третий бумер, лансер – нужное
подчеркнуть), в мажорной дубленке, с гарнитурой, но без каски. В таком
случае есть все шансы тупо получить чем-то тяжелым по голове и с таким
же успехом отдать деньги с карточки. Но этот случай не так интересен –
гоп-стоп был везде и всегда.
Несмотря на то, что всегда смотрю на банкомат, прежде чем вставить
карту, в тот раз я ее вставил. Были не одни, было не до банкомата.
Хотел было вводить пин-код, как заметил, что клавиатура не плоская, а
выпуклая, как быть не должно. Сравнив быстро пальцем фактуру клавы и
банкомата, мысленно пытаюсь убедить себя, что все ок. Через секунду
говорю друзьям:
— Блин, походу скиммер.
Замерли. Поддеваю ногтем клавиатуру… сначала вошел ноготок, потом
палец…сплошной секс ). Когда я понял, что клава отходит, я решил, что
сломал банкомат и что под кнопками ничего не будет, а я тупо приклею ее
обратно и сниму деньги.
Подняв клаву, мы обомлели – там была точная копия нашей клавы, только идеально ровно встроенная в поверхность банкомата.
— Ё-маё, Бурумыч, скиммер! Скиммер, мать его! О Боги, я первый раз такое вижу, поверни, дай сфоткаю!
— Да, тоже первый раз вижу. Только мой дамп уже там, а должен быть чей-нибудь ваш )
Перевожу взгляд на картоприемник – уже ничего не соображая, пытаюсь
вытащить карту. Ничего не выходит. Вспоминаю про кнопку «Отмена», жму –
карта вылазит. Хух.
Поддевая ногтями выпирающий картоприемник, он так же отходит – от чего
жути только прибавилось. Пару секунд рассматриваем устройство – горят
какие-то лампочки, батарейка, аккуратная пайка… да, видно, что этим
вопросом занимаются серьезно. Еще через мгновение нас всех одновременно
посещает мысль, что больше нам находиться тут не стоит )
Дальше все как в фильме ) Менты пообещали прибыть в течение часа, что в
нашем случае, естественно, нам уже не делало никакой погоды. Скиммер
мирным путем вернулся законным владельцам ) А мы, понимая, что ходим
под Богом, телепортировались.
В общем, примерно такие были эмоции при первом знакомстве. Что же за пищу для размышлений мы тогда получили?
Во-первых, это было первое практическое занятие – узнали как выглядит,
что из себя представляет, кем и как охраняется. Весь текст дальше –
догадки.
Из недостоверных источников, цена за комплект устройства подобного типа
(сами железки, программное обеспечение и т.п.) стоит порядка 3-5 тысяч
долларов (несмотря на то, что ничего сверхъестественного там нет), что
уже как минимум является причиной не оставлять девайс без присмотра.
Цена зависит от конструкции и от комплектации. Что-то может автономно
долго работать, что-то хранить дампы у себя на карте памяти, что-то –
сразу передает информацию владельцам (экзотика).
Цитата с какого-то сайта: «
Информация о скиммерах появлялась в
новостях уже не раз, но устройства совершенствуются с каждым днем. На
этот раз скиммеру уже не нужно подходить к банкомату, чтобы снять
информацию — она высылается через СМС. Устройство может отправить до
1856 СМС на одной подзарядке. Стоит 8,5 тыс долларов. Причем краска для
внешних деталей покупается на тех же заводах, что и производители
банкоматов, учитывается температура, угол наклона, время покраски. На
первый взгляд отличить практически невозможно.
Единственное НО… Если сотрудники банка оперативно среагируют и
отследят сим-карту злоумышленника, то поймать его, возможно, будет и
проще…»
Следовательно, где-то в пределах прямой видимости точно кто-то есть,
даже если Вы его не видите. Зато видят Вас, например, из тонированной
девятки через дорогу ;) Так как работа наблюдающего, по сути – охрана
объекта, то я почти уверен, что и пропорции у него – как у достойного
охранника ;)
Если Вы считаете, что обдурили всех, отодрав скиммер и убежав – не
спешите радоваться. Могут по дампу найти, могли и паспорт выронить –
всякое бывает ;) зато потом хэппи энда может не случиться. Так что
подумайте, стоит ли вообще связываться – может проще снять деньги в
другом месте?
Дальше можно поразмышлять о местах обитания скиммеров. Понятное дело,
что идеальное место – там, где больше народу, причем не студентов со
стипендиями, а нормального такого народу. Думаю, скиммер вы сможете
встретить у вокзалов, аэропортов, казино, кафешек, кино, магазинов
техники и прочих горбушек – одним словом в местах, где людям требуется
снимать побольше денег.
Побродив пару часов по совку и горбушке, пройдя пару вокзалов – я так
ничего интересного и не нашел. Отсюда, снова напрашивается вывод, что
устройства находятся на своих местах не всегда.
Предполагаю, что сначала дядьки выясняют, в каком режиме обслуживается
рыбное место – в какие дни и в какое время приезжают инкассаторы
загрузить деньги, во сколько они проезжают и так далее. Т.к.
инкассаторы наверняка каждый раз разные, то надеяться на их гуманность
к скиммеру злоумышленнику не стоит. Поэтому, вероятно, скиммеры
приклеивают и снимают по несколько раз на дню.
Но отсюда опять что-то да вытекает. Даже у самого одинокого банкомата
обычно стоят камеры, за которыми кто-то да должен наблюдать из служб
безопасности. А про банкоматы в отделениях банка я вообще не говорю.
Таким образом, я не поверю, что каждый раз, вешая девайс на банкомат,
этого никто не замечают и ничего не предпринимают. Да, злоумышленник
может на пару секунд прикрыть собой камеру, успев сделать свое дело… но
это же должно происходить несколько раз на дню!?! Думаю, даже постоянно
вешать устройство и не надо – достаточно пару часов повисеть в один из
вечеров праздничного дня.
Какой отсюда же напрашивается вывод? А такой, что все об этом прекрасно
знают. И если девочка на ресепшене должна просто закрывать на это
глаза, то владельцы банков наверняка живут не только на проценты
вкладчиков =) иначе смысла разводить такую кормушку у себя под носом у
них нет. Таким образом, еще раз доказывается отношение банковской сферы
к обычному пользователю, честному, порой, человеку. А жаль )
Как-то зайдя в банк, на входе мне встретился охранник, который выходил
покурить. Недолго думая, я решил поговорить с ним – вот такой у нас
вышел диалог:
— Здравствуйте, хотел задать пару вопросов по безопасности банкоматов.
— Попробуй.
(в лоб) — Вы в курсе, что такое скиммер?
— Мм, слышал, а что? — Недавно первый раз встретил такое
устройство – обнаружил его только тогда, когда карточку уже вставил, но
код не ввел. Могут ли, не зная пин-кода, расплачиваться от моего имени,
например в интернете или простых магазинах?
— Вот это, честно, сказать, не знаю. Но береженого бог бережет –
зайди, вон, да поменяй код, это 10 минут займет. А где встретил
штуковину-то?
— Там-то. Но, честно сказать, был удивлен – думал, что такое только в штатах, а пишут про них только в журналах.
— Хех…в штатах =) ты же в России живешь. Пока американцы что-то
придумывают, у нас уже сделают «анти». У них вирусы, у нас уже
антивирусы и наоборот. Так что в стране желания грести деньги, ничего
не делая, таких устройств не может не быть.
— Даже так! И много у нас… по Москве?
— Да хватает. Ты вот где живешь?
— Там-то
— Ну… недалеко от меня. Поискать – найдешь ;)
— Интересно. И чего ж с ними никто не борется?
— Да как не борются… борются. Просто раз они есть, значит это кому-то надо.
— Верно, нет дыма без огня. А как начальство банков к этому относится, они в курсе?
(Взбодрившись)
– Конечно! )
— Вах. Т.е, получается, что не убирают хотя бы только потому, что начальству это тоже выгодно?
(Улыбаясь) – Ну… всяко бывает. А тебе это вообще все зачем?
— Да вот, столкнулся случайно, хотел узнать.
— Смотри, осторожней. У вас вот есть какое-нибудь правоведение в институте?
— Нет, но что-то подобное было.
— И что, не учили, какие вопросы и кому можно задавать, а кому какие – нет?
— Не учили, но я к вам исключительно в мирных целях ;)
— Да понятно. Просто иногда, задав безопасный, казалось бы, вопрос,
можно вызывать неадекватную реакцию. То же самое и с поведением. Знал
вот, что по банкомату стучать нельзя?
— Неа, а что, в ответ бьёт? ;)
— Нет. Но это уже может попасть под порчу имущества. Так у нас на
днях зашел один пьяный, стукнул – приехал фургон, скрутили и забрали.
Там же датчиков полно внутри… и пойди докажи, что ты его не взломать
хотел.
— Серьезно у вас тут. Ладно, давайте вернемся. Расскажите что-нибудь про их устройство, как крепят, как обслуживают?
— Ну а чего тут рассказывать. Как устроены, не знаю точно, но
обнаружить не так уж сложно. Это бабулькам 80-летним, которых
государство все это время нае*ывало, уже не понять этих приколов, а ты
если видишь, что что-то торчит – не суй и все, сними в другом месте.
— А если оторвут и смотаются?
— Ну оторви =) Сам понимаешь, такие вещи не без присмотра… не
сразу, так потом где-то найдут. Похлопают по плечу, сам не заметишь.
— Интересно… и что, совсем никому нет дела до этого всего?
— Ну почему… бывают, иногда, показательные выступления – проезжают
спецы, всем, кому надо пальцы загнут для галочки… а потом снова все на
свои места встает.
— А у вас тут было чего интересного?
— Неа, это больше на банкоматах без банков, хотя всякое бывает.
— А, ну у вас-то тут банк вон, да…
— Максимум бывало, что деньги выхватят… но это ведь опять, чья
ошибка? Вон, глянь… вышел с пачкой денег… чего вот не спрятать сразу,
не убрать? Пересчитать же потом можно… или пин-коды вводят, не
закрываясь… а подсмотреть тысячей способов можно. А потом жалуются…
— Где ж ваш автомат-то? ;)
(улыбаясь)
– Да я вон, на танке сегодня. Далеко не убегут, если что ;) Ладно, давай, не май месяц, пойду. Мотай на ус.
— Успехов, благодарю!
В общем, вот такой диалог вышел, но конкретики почти никакой. Позже
случайно мне удалось найти в сети человека в теме, которого повторно
найти никак не удастся ) Я не занял у него много времени, но все же,
немного информации, опять же подтверждающей мои догадки, появилось:
Я: Какие бывают по типам (способ хранения, способ передачи,
питания)? Какие бывают по размерам? Какие примерно цены и от чего
зависят? Откуда берутся – делают ли их серийно?
Он: Каждое устройство индивидуально по сути — затачивается под
конкретный АТМ, т.к. основное требуемое свойство — незаметность.
Серийно их никто не делает, т.к. это все же уголовно наказуемое деяние,
но это не значит, что их все делают вручную. Цена на скиммер «под ключ»
— от 5000 и выше. В основном это автономные устройства со встроенной
памятью — «поставил, подождал, снял», вариантов с передачей данных у
меня не было, но очевидно, что это гораздо безопаснее для владельцев.
// Тут собеседник не рассказал про размеры девайсов, но я нашел пару
интересных изображений в интернете. Да-да, даже такая вот «зажигалка»
(правильнее, «Кубик») в руке человека рядом с Вами в состоянии утянуть
Ваше состояние.
Я: Как их крепят? Бывает тупо поверх клавы и щели. Но слышал, что чаще просто ставят камеры. Может еще что-то придумали?
Он: Все верно — в простых моделях крепится только на
картоприемник + камера для снятия пинкода. Способов крепления камеры
достаточно много.
// Окинув взглядом фотку банкомата, прикидываю, куда можно было бы
спрятать камеру. Если это не «дополнительная» камера в банке, которая
выглядит как настоящая, то вариантов остается не так много. Если
человек высокий ростом, то камеру можно приклеить к верхней части АТМ,
выпирающей над клавой – просто так их не увидишь, но слегка нагнувшись
– легко. Или же можно повесить свою «лампу» для освещения, в прозрачный
пластик которой спрятать «зёрнышко» от камеры (видели, каких размеров
камеры в некоторых видео-домофонах? “.” – чуть больше этой точки)
Или вот как на фотке из инета – в коробочке для рекламок, изначально награжденной только информационной функцией.
Ну или ваш код могут тупо подсмотреть рядом стоящие люди ;) Поэтому
зеркала на банкоматы клеят неспроста. Заботящиеся о клиентах банки на
свои АТМ так же ставят специальные «заборы» на клавиатуру, которые
помогают не палить код.
Я: Где чаще всего бывают – в закрытых или открытых банкоматах?
Может какие-то банкоматы или банки особенно безответственно относятся к
этому, а какие-то — дорожат клиентами? Излюбленные места обитания? Где
больше — в Москве или Питере?
Он: Предпочтительнее открытые банкоматы. Чем больше проходимость
народа — тем лучше. Насчет банков – хз. Любой фрикер тебе этого не
скажет или заведомо «поменяет» нужные названия банков местам ;) Следят,
конечно, все, но говорить о том что их АТМ заскиммили не будет никто.
Где больше –
имхо, в Питере. Но и в Москве, конечно, тоже хватает.
Снова я: Еще немного по ценам – купить можно только в инете или
в супермаркетах тоже продаются? ;) Что в этом случае меняется? Что
делать человеку, если он снял скиммер? )
Он: Готовый комплект, купленный на Митино или еще где — в 99%
окажется нерабочим или уже использованным, и то, трудно найти то, что
тебе надо. В интернете народ гораздо охотнее идет на контакт, но точно
так же можно купить не то или же по завышенной цене. Цена, опять же,
под заказ — от 5000. Если удалось снять скиммер — дело за малым — слить
оттуда инфу и продать ее кардерам. Или дропам. Самому сливать денежный
эквивалент — равноценно явке с повинной в органы.
// Хм, что-то опять эта цифра в 5K usd ;) На форумах же предложения совершенно разнятся – от 1К до 15.
Я: Кто вообще этим занимаются — ведь не просто
пионеры-радиотехники? Как их устанавливают — под камерой банкомата
каждый день ставят с утра и снимают перед приездом инкассаторов? Или
даже они не помеха? )
Он: Кто занимается? Умные и осторожные фрикеры (не путать с
фриками – моё прим.). Самый распространенный способ установки — после
приезда и отъезда инкассаторской группы, через 5-10 минут «группа»
возвращается. и опять уезжает. Схема приемлема для ОПГ, которые могут
позволить имитировать спецодежду мастеров. Более простой вариант —
установка на вечер-ночь, т.е. людей мало, инкасса не приедет
гарантированно до утра (время приезда вычисляется простым наблюдением),
но и безопасность выше. Еще устанавливают и снимают скиммеры обычно
«шумной группой студентов», т.е. толпа окружает банкомат («блокирует
лохов»), ставится скиммер… ну и варианты по фантазии…
Я: Хочется каких-то цифр ) Их риск хотя бы оправдан — насколько
прибыльная такяа рыбалка? Или если не в баксах, то хотя бы в количестве
дампов. Как часто тырят скиммеры? )
Он: Цена свободы у каждого разная, кто-то рискует, кто-то нет.
Но не всегда же обязательно все делать самому ;) не обижай с % и все
будет. Количество дампов = количеству карт вставленных в АТМ. Улов —
никто никогда не говорил конкретных цифр. Но окупается не только
аппарат, но и хватает на новый. Может слышал песню «В ресторане обеды,
в доме нету соседей, а БВМ 7-ой серии — удачнее велосипеда» :)
Я: Слышал ;) А что вообще делают с дампами, каков их дальнейший
путь? Нужно ли человеку менять пин-код, если он только вставил карту,
но не ввел код? Как быстро дамп попадает «в темные руки» и сколько у
человека есть времени на спасение бабосов? Дальше делают копию карточки
или что вообще можно сделать, имея дамп со снятым пином? Как долго
занимает расшифровка или это дело 5 секунд?
Он: см выше — их сливают кардерам или дропам. У кого какие
контакты есть. Если пин не введен — менять его не нужно. Дамп попадает
в руки дропов обычно через сутки-двое после снятия скиммера. Но если
«операция» прошла успешно, человек узнает о том что с его счета ушли
деньги только по смс-банкингу или при следующей проверке карты.
Расшифровать что? Дамп? Дамп не расшифровывают. Его просто клонируют.
Да, у дропов есть аппараты по клонированию карт (тоже дорогое
удовольствие).
Уже не так все двусмысленно, как в первом диалоге, но тем не менее,
картина все четче рисуется. Дали бы мне рукописи Да-Винчи, я бы их в
миг разгадал ;)
Полазив в инете по различным форумам, был удивлен тому, сколько же
информации в свободном доступе. Схемы, распайки, прошивки, мануалы,
пошаговые инструкции и помимо этого, самое главное – люди, обладающие
самым ценным – знаниями, информацией.
Схема считывающей головки сканера
Схема GSM-скиммера
Просто так, естественно, никто ничего не расскажет ) Мне даже
двусмысленно не решились что-то рассказать, это же их хлеб. С другой
стороны – всех денег не обналичить, а кто-то в нашей стране до сих пор
зарабатывает честно. Так и получается – с одного конца провода — люди,
боящиеся погонов, с другого – люди, боящиеся потерять деньги. И все же,
не стоит забывать, что кто-то еще да работает честно.
Какие из этого делать выводы, каждый для себя делает сам ;) Для тех же,
кому лень додумать, дам пару советов, которые помогут не потерять
бездарно последние купоны на карточке:
1. Прежде чем подойти к банкомату, оглянитесь. Пьяны, заметили
что-то странное-подозрительное – отложите съем до лучших времен. Не
паранойи ради, безопасности для – оглядывайтесь по сторонам так же, как
и при переходе через дорогу.
2. Вы должны четко знать, как выглядит банкомат Вашего банка
(если не снимаете деньги с комиссией со всего подряд). В большинстве
своем они имеют: НЕвыпирающую из ровной плоскости клавиатуру, плоскую
или вдавленную щель приемника карт. Если видите, что клавиатура
выпирает хотя бы на пару миллиметров или картоприемник торчит наружу –
снимите деньги в другом месте. Если надумаете проявить отвагу и решите
позвонить, неважно, куда – в 02 или в службу банка – делайте это не у
банкомата!
3. Вставив карточку не спешите вводить пин-код – осмотритесь еще
раз =) Ни-че-го нестандартного на банкомате быть не должно. Если кто-то
рядом стоит, вводите код так, чтобы его не увидели.
4. Сняв деньги, не размахивайте ими на право и налево. Вытащили
карту > убрали > вытащили деньги > быстро пересчитали и сразу
надежно убрали > взяли чек > испарились.
5. Однажды вам могут позвонить якобы из банка и сказать: «
Здравствуйте,
укважаемый Лошидзе Баобаб Бабосович, вас беспокоит служба безопасности
Вашего банка. В целях безопасности наших клиентов, мы переводим их с
4-значного пин-кода на 6-значный. Просьба сообщить Вас нынешний пин-код
и новый желаемый или же то же самое проделать, придя к нам в банк».
Естественно, переться и возиться с бумажками многим будет лень,
поэтому, смею предположить, что добрая половина тупо скажет свой код.
Поэтому…. НИКОГДА и НИКОМУ не говорите свой пин-код! Ни тётям в
магазине на кассе, ни, тем более, дядям. Даже работники банка – от
тёток на ресепшене до совета директоров – ни под каким предлогом. У них
и без этого полно вариантов на тему как оставить вас без штанов :)
6. Если Вас уже бьют – громко кричите — их больше ;=)))
На десерт – пара фоток, как может выглядеть ваш похититель:
Шутко )
1. Клавиатура может выглядеть так:
Обычно кнопки – плоские, но бывает, что и кнопки выпирают… Не-не-не, в них точно ничего нет, это уже точно паранойя… или… :)))
2. Картоприемник:
Девайс на последней картинке вызывает у меня некоторые сомнения – с
одной стороны, ее правая часть свободна (часть, где окажется магнитная
лента), т.е. по сути, сканера там уместиться не должно и этот девайс, в
итоге – так называемый антискиммер. Но здесь он сделан настолько ужасно
(в том числе и по исполнению), что от скиммера его не отличить. Или же
его можно оторвать и приклеить на его место скиммер… в общем, глупость
сделали )
Насчет антискиммеров — обезопасить картоприемник банки могли бы без
проблем – использовать абсолютно плоскую щель, специальные неровности,
мешающие установке поверх любого объекта – но опять же… хотели бы –
сделали ) Вот примеры попыток усложнить жизнь:
(Тоже глупая, на самом деле, затея, т.к. скиммер замаскировать под
такое дело легко, зато даже сам по себе антискиммер опять же уже
наводит на какие-то мысли)
Иногда можно встретить наклейки или стенды «как должен выглядеть
банкомат», и, мол, если он выглядит иначе, не пользуйтесь им. Понятное
дело, что поверх этого можно наклеить-повесить что угодно :) ВСЁ, лишь
бы не работать! )
Успехов!
