Сейчас банкоматы растут как грибы
после дождя, увеличивается количество держателей кредитных
карточек, а вместе с ними и очереди к устройствам, находящимся
в местах скопления народа. Кто-то из людей, стоящих
в очереди и теребящих разноцветные кусочки пластика,
смотрит на электронного кассира как на удобное средство
получения своих кровных в нужное время. Кто-то, возможно,
связывает с банкоматами свои мечты о легкой наживе.
В 2005 году в Европе произошло рекордное количество
преступлений, имеющих отношение к "пластиковым"
деньгам. Неужели банкоматы легко взламываются? О мифах,
реальных случаях и способах защиты своих сбережений
и пойдет речь в данной статье.
Упрощенная классификация:
Банкоматы различаются по назначению и дизайну, однако
когда говорят о способах их исполнения, то выделяют
следующие типы: офисные, уличные и чересстенные. Как
следует из названия, первые предназначены для работы
внутри магазинов и различных учреждений, а вторые -
на улице (в Минске я таких еще не встречал). Чересстенные
банкоматы в целях безопасности врезаются в стену зданий
и могут быть расположены как внутри дома, так и снаружи.
Самым надежным и удобным вариантом является последний,
однако он требует больших накладных расходов.
Составные части банкомата:
Внутри банкомата находится компьютер, работающий под
управлением ОС Windows ХР, OS/2 WARP или других, а также
сейф, предназначенный для хранения денежных купюр в
специальных кассетах. Следует отметить, что сейф не
является обязательным атрибутом банкомата, т.к. встречаются
устройства, позволяющие лишь осуществлять платежи при
помощи пластиковых карточек. Обычно сейф имеет толстые
металлические стенки и кодовый замок, а его вес может
составлять от 500 кг до полутора тонн. Тем не менее,
встречаются и более легкие версии, однако они меньше
всего защищены, т.к. тонкие стенки сейфа легко поддаются
механическим воздействиям. Да и унести такой банкомат
проще при помощи специальной техники (подъемные краны,
экскаваторы и т.д.) или нескольких ребят атлетического
телосложения. Описанные случаи похищения уличных банкоматов,
в которых участвовало три или четыре человека, могут
быть правдой, если принять в расчет данное обстоятельство.
Но в то же время непонятно, на что рассчитывали злоумышленники,
ведь банкомат всегда находится на связи с центром управления,
который в случае чего забьет тревогу. Жаль, но история
умалчивает о результатах подобных краж.
На лицевой панели банкомата находится сенсорный или
обычный дисплей, клавиатура (если необходимо), устройство
для считывания данных с пластиковых карточек (карт-ридер).
Также в верхней части банкомата расположены чековый
и журнальный принтеры, которые служат, соответственно,
для выдачи чеков и записи осуществляемых электронным
кассиром действий. Некоторые современные модели имеют
еще и графический принтер. Не забудем и про окошко выдачи,
через которое банкомат отпускает запрошенные деньги.
Оно обычно расположено под экраном (да вы и без меня
это хорошо знаете). Будем считать, что с устройством
электронного кассира вы познакомились, теперь перейдем
к описанию его работы.
Принцип работы банкомата:
Любой банкомат не выполнит ни одной операции, пока
не свяжется со своим командным центром, который управляет
целой сетью банкоматов и может принадлежать как самому
банку, так и независимому поставщику услуг. Каждый запрос
пользователя отправляется в центр управления, а затем
- в банк, которому принадлежит ваша пластиковая карточка.
Кроме того, в командный центр отправляется вся информация
о работе банкомата: отчет об обнаруженных ошибках, уведомления
о необходимости смены лент для принтеров, об отсутствии
денег и т.д. Если ошибки носят критический характер,
то в центре принимается решение об отключении устройства.
Механизм выдачи денег довольно прост: необходимая сумма
собирается из купюр, которые находятся в разных кассетах
(в одной кассете купюры одного достоинства), причем
множество датчиков гарантируют то, что банкомат выдаст
именно запрошенное количество дензнаков.
Банкомат может соединяться с общей сетью при помощи
телефонных или выделенных линий в зависимости от нагрузки
и количества подключенных аппаратов. Все банкоматы,
кроме тех, которые расположены непосредственно в банке,
работают через протокол Х.21, а скорость передачи данных
обычно составляет 9600 Кбит/с. Все пересылаемые пакеты
шифруются. Ну, вот теперь мы и добрались до механизмов,
обеспечивающих безопасность работы банкомата.
Средства защиты
К средствам защиты денег, хранящихся в кассетах банкомата
и на счетах держателей карт, относятся упомянутые выше
металлический сейф и шифрование информации, которая
пересылается по каналам связи в командный центр, что
очень сильно затрудняет подключение к сети устройств,
подменяющих отсылаемые пакеты. Кроме того, банкоматы
могут оснащаться сигнализацией и видеокамерой, доступ
к сейфу осуществляется через ввод ключа оператора, который
требует интерфейсная программа, позволяющая выполнять
различные действия, например, замену кассет. Доступ
к настройкам ОС есть только у программиста, у которого
имеется также свой ключ.
На кредитной карточке нигде не записан PIN-код - его
каждый пользователь должен хранить в голове. При вводе
PIN-код также шифруется, а если человек три раза ошибается,
то карточка к нему не возвращается, а помещается в специальный
контейнер. Если пластиковая карта была утеряна, то пользователь
должен сообщить об этом в банк, который установит на
нее метку изъятия. Это означает, что если нашедший карточку
попытается ею воспользоваться, машина ее также проглотит.
Кроме того, в ближайшее время следует ожидать массового
внедрения интеллектуальных систем безопасности банкоматов,
а также применения ряда других специальных мер, призванных
поставить надежный барьер действиям злоумышленников.
Незаконное получение денег:
Чтобы поправить свое материальное положение криминальным
путем при помощи банкомата, можно пойти по двум различным
дорогам: любым способом достать деньги, находящиеся
в сейфе (примитивно), или снять их со счета интеллектуальным
путем (узнать PIN-код и подделать пластиковую карточку,
что не составляет трудностей, или подключиться к сети
и подделать пересылаемые сообщения). Но в любом случае
предприятие с большой долей вероятности потерпит фиаско.
Далее приводятся самые изощренные способы взлома банкоматов,
а также советы пользователям, которые не хотят стать
жертвами мошенников.
Пример 1. Глупый
Во многих ресторанах на Западе оплата может происходить
следующим образом: официант получает из рук посетителей
пластиковую карточку, те сообщают ему PIN-код, а он
направляется к карт-ри-деру и списывает необходимую
сумму. В Эстонии находчивый официант умудрялся считывать
карточку самодельным устройством по дороге к карт-риде-ру,
что не привлекло бы к себе внимания, если бы не алчность
последнего.
Чтобы избежать подобных неприятностей, рекомендуется
никогда и ни при каких условиях не светить свой PIN-код.
Пример 2. Курьезный
А зачем пытаться взломать реальный банкомат, если можно
просто поставить на малолюдной улице липовый, который
считывал бы информацию с карточек и записывал введенные
пароли? Так и было сделано лет пять назад. Все выглядело
очень натурально: пользователь вводит PIN-код, а банкомат
заявляет, что нет денег или связи. Потом злоумышленники
изготавливали поддельные кредитные карточки и, зная
пароль, снимали денежные знаки, используя настоящие
банкоматы. В банке никто не мог понять, почему пропадают
деньги. Так продолжалось полтора года. Преступники до
сих пор не найдены.
Да тут и не скажешь ничего, кроме того, что следует
воздерживаться от снятия денег в подозрительных местах
или запрашивать список всех банкоматов, принадлежащих
данному банку и расположенных в интересующем вас месте.
Пример 3. Продвинутый
На клавиатуру банкомата накладывается тонкая пленка
со встроенным микропроцессором, запоминающим не только
нажимаемые цифры, но и их последовательность. Вся информация
обрабатывается программой, вшитой в чип. Потом девайс
снимается и "рассказывает" злодеям все секреты
пользователей.
В этом случае рекомендуется обращать внимание на странные
предметы на клавиатуре, в области окна выдачи денег,
а также на любые подозрительные устройства.
Пример 4. Чисто хакерский
Данный способ обогащения будет немного сложнее предыдущих.
Хотя, если вы разбираетесь в сетевых протоколах на канальном
уровне... Идея следующая: нужно врезаться в разрыв кабеля,
идущего от банкомата к командному центру, произведя
коммутацию "на ходу", затем анализировать
и расшифровывать пересылаемые пакеты, а потом подделать
команду банкомату на выдачу вам суммы с n-ым количеством
нулей. Конечно, придется пому-чаться, отправляя в центр
ложные извещения. И что делать с принтером, записывающим
все события? Да и как вообще подсоединить ноут к сети,
когда большинство банкоматов расположено в стене или
прислонены к ней? Нужно неплохо разбираться в схемах
соединения этих устройств, по крайней мере, работать
в этой области, чтобы точно знать, в каком подвале проходит
нужный кабель. А кто тогда будет стоять рядом с банкоматом
и всовывать пластиковую карточку? Данный алгоритм взлома
можно легко найти в интернете, однако, как мы видим,
вопросов больше, чем ответов. Едва ли можно серьезно
говорить о его реализации.
Выводы:
Возможно, большое число посягательств на наши с вами
денежки, которые имели место в последнее время во всем
мире, как раз и объясняются тем, что не имеющие достаточного
образования люди, ослепленные возможностью легкой наживы,
проглатывают различные истории и покупают у "спецов"
особое оборудование в интернете. Принимая во внимание
систему защиты банкоматов, можно смело сказать, что
"ло-мануть" машину будет очень трудно. Но
можно обмануть. А это возможно только при "посредничестве"
самих неосмотрительных клиентов. Хоть в Беларуси мошенничества
с пластиковыми карточками не достигли таких масштабов,
все же будем бдительны, господа!
Материал взят из газеты «Компьютерные
Вести» за 20.04.2006
Автор статьи – Narthex Veg
|