Бывает такое, что привычная, казалось бы, вещь, встречается с такой изюминкой, после которой начинаешь смотреть на эту вещь совершенно иначе. Так случилось и у меня… пару лет снимал деньги с карточки в сотне мест и бед не знал… а тут приехал в один городок и в первом же банкомате мне повстречалась эта самая изюминка. Причем место и обстоятельство были такими, что за пару мгновений пищи для размышления и впечатлений накопилось недели на две вперед.
----------------------<cut>----------------------
Я почему-то думал, что это может быть только в стране вечнозеленых президентов, а у нас – просто нет кадров, чтобы заниматься этим. Оказывается, я глубоко ошибался. Просто не каждый день встретишь то, про что читал только в журналах/интернете или видел в фильмах [ кстати, не помню ни одного фильма, где бы фигурировал скиммер
].Что такое скиммер? Если сделать запрос в яндексе, то из первых строк станет ясно, что это какой-то насос для очистки бассейнов. Но сами посудите – насос и банкомат… что-то не то. Хотя, насосом качать бабки из банкомата – вполне )
Не вдаваясь в историю происхождения названия, скиммер – это небольшое устройство, которое может помочь злоумышленникам воспользоваться Вашей пластиковой карточкой.
Те, кто в теме, сейчас наверное читают и хихикают над моей трактовкой, но это первая трактовка, что пришла мне в голову.
Скиммер обычно состоит из двух элементов – накладной клавиатуры (пин-пад) и сканера магнитной ленты карты.
Пин-пад аккурат размещается поверх родной клавиатуры банкомата и позволяет злоумышленникам узнать Ваш пин-код (для этого так же может использоваться миниатюрная камера), сканер же вешается поверх щели приема карт. Причем, маскировка делает свое грязное дело.
Вы вставляете карточку в банкомат (не подозревая, что вставляете ее в сканер карт злоумышленников, после которого карточка попадает в нужную Вам щель банкомата) – вуаля, данные о вашей карте (дамп) уже либо на устройстве хранения данных в сканере, либо по беспроводному интерфейсу уже переданы кому-то. Дальше Вы вводите пин-код, который так же либо сохраняется, либо сразу отправляется. Все, для того чтобы пользоваться вашими деньгами, остается всего лишь изготовить дубликат карты, что делается, судя по всему, достаточно легко – используя дамп, программируется безликий кусок пластика и готово.
Кстати, гораздо хуже, если никакого накладной клавиатуры на устройстве приема карт банкомата нет или просто кто-то палит, как вы вводите пин-код. Еще хуже, если при этом вы вышли из своего намытого до зеркального блеска Audi Q7 (99, третий бумер, лансер – нужное подчеркнуть), в мажорной дубленке, с гарнитурой, но без каски. В таком случае есть все шансы тупо получить чем-то тяжелым по голове и с таким же успехом отдать деньги с карточки. Но этот случай не так интересен – гоп-стоп был везде и всегда.
Несмотря на то, что всегда смотрю на банкомат, прежде чем вставить карту, в тот раз я ее вставил. Были не одни, было не до банкомата. Хотел было вводить пин-код, как заметил, что клавиатура не плоская, а выпуклая, как быть не должно. Сравнив быстро пальцем фактуру клавы и банкомата, мысленно пытаюсь убедить себя, что все ок. Через секунду говорю друзьям:
— Блин, походу скиммер.
Замерли. Поддеваю ногтем клавиатуру… сначала вошел ноготок, потом палец…сплошной секс ). Когда я понял, что клава отходит, я решил, что сломал банкомат и что под кнопками ничего не будет, а я тупо приклею ее обратно и сниму деньги.
Подняв клаву, мы обомлели – там была точная копия нашей клавы, только идеально ровно встроенная в поверхность банкомата.
— Ё-маё, Бурумыч, скиммер! Скиммер, мать его! О Боги, я первый раз такое вижу, поверни, дай сфоткаю!
— Да, тоже первый раз вижу. Только мой дамп уже там, а должен быть чей-нибудь ваш )
Перевожу взгляд на картоприемник – уже ничего не соображая, пытаюсь вытащить карту. Ничего не выходит. Вспоминаю про кнопку «Отмена», жму – карта вылазит. Хух.
Поддевая ногтями выпирающий картоприемник, он так же отходит – от чего жути только прибавилось. Пару секунд рассматриваем устройство – горят какие-то лампочки, батарейка, аккуратная пайка… да, видно, что этим вопросом занимаются серьезно. Еще через мгновение нас всех одновременно посещает мысль, что больше нам находиться тут не стоит )
Дальше все как в фильме ) Менты пообещали прибыть в течение часа, что в нашем случае, естественно, нам уже не делало никакой погоды. Скиммер мирным путем вернулся законным владельцам ) А мы, понимая, что ходим под Богом, телепортировались.
В общем, примерно такие были эмоции при первом знакомстве. Что же за пищу для размышлений мы тогда получили?
Во-первых, это было первое практическое занятие – узнали как выглядит, что из себя представляет, кем и как охраняется. Весь текст дальше – догадки.
Из недостоверных источников, цена за комплект устройства подобного типа (сами железки, программное обеспечение и т.п.) стоит порядка 3-5 тысяч долларов (несмотря на то, что ничего сверхъестественного там нет), что уже как минимум является причиной не оставлять девайс без присмотра. Цена зависит от конструкции и от комплектации. Что-то может автономно долго работать, что-то хранить дампы у себя на карте памяти, что-то – сразу передает информацию владельцам (экзотика).
Цитата с какого-то сайта: «Информация о скиммерах появлялась в новостях уже не раз, но устройства совершенствуются с каждым днем. На этот раз скиммеру уже не нужно подходить к банкомату, чтобы снять информацию — она высылается через СМС. Устройство может отправить до 1856 СМС на одной подзарядке. Стоит 8,5 тыс долларов. Причем краска для внешних деталей покупается на тех же заводах, что и производители банкоматов, учитывается температура, угол наклона, время покраски. На первый взгляд отличить практически невозможно.
Единственное НО… Если сотрудники банка оперативно среагируют и отследят сим-карту злоумышленника, то поймать его, возможно, будет и проще…»
Следовательно, где-то в пределах прямой видимости точно кто-то есть, даже если Вы его не видите. Зато видят Вас, например, из тонированной девятки через дорогу
Так как работа наблюдающего, по сути – охрана объекта, то я почти уверен, что и пропорции у него – как у достойного охранника Если Вы считаете, что обдурили всех, отодрав скиммер и убежав – не спешите радоваться. Могут по дампу найти, могли и паспорт выронить – всякое бывает
зато потом хэппи энда может не случиться. Так что подумайте, стоит ли вообще связываться – может проще снять деньги в другом месте?
Дальше можно поразмышлять о местах обитания скиммеров. Понятное дело, что идеальное место – там, где больше народу, причем не студентов со стипендиями, а нормального такого народу. Думаю, скиммер вы сможете встретить у вокзалов, аэропортов, казино, кафешек, кино, магазинов техники и прочих горбушек – одним словом в местах, где людям требуется снимать побольше денег.
Побродив пару часов по совку и горбушке, пройдя пару вокзалов – я так ничего интересного и не нашел. Отсюда, снова напрашивается вывод, что устройства находятся на своих местах не всегда.
Предполагаю, что сначала дядьки выясняют, в каком режиме обслуживается рыбное место – в какие дни и в какое время приезжают инкассаторы загрузить деньги, во сколько они проезжают и так далее. Т.к. инкассаторы наверняка каждый раз разные, то надеяться на их гуманность к скиммеру злоумышленнику не стоит. Поэтому, вероятно, скиммеры приклеивают и снимают по несколько раз на дню.
Но отсюда опять что-то да вытекает. Даже у самого одинокого банкомата обычно стоят камеры, за которыми кто-то да должен наблюдать из служб безопасности. А про банкоматы в отделениях банка я вообще не говорю. Таким образом, я не поверю, что каждый раз, вешая девайс на банкомат, этого никто не замечают и ничего не предпринимают. Да, злоумышленник может на пару секунд прикрыть собой камеру, успев сделать свое дело… но это же должно происходить несколько раз на дню!?! Думаю, даже постоянно вешать устройство и не надо – достаточно пару часов повисеть в один из вечеров праздничного дня.
Какой отсюда же напрашивается вывод? А такой, что все об этом прекрасно знают. И если девочка на ресепшене должна просто закрывать на это глаза, то владельцы банков наверняка живут не только на проценты вкладчиков =) иначе смысла разводить такую кормушку у себя под носом у них нет. Таким образом, еще раз доказывается отношение банковской сферы к обычному пользователю, честному, порой, человеку. А жаль )
Как-то зайдя в банк, на входе мне встретился охранник, который выходил покурить. Недолго думая, я решил поговорить с ним – вот такой у нас вышел диалог:
— Здравствуйте, хотел задать пару вопросов по безопасности банкоматов.
— Попробуй.
(в лоб) — Вы в курсе, что такое скиммер?
— Мм, слышал, а что?
— Недавно первый раз встретил такое устройство – обнаружил его только тогда, когда карточку уже вставил, но код не ввел. Могут ли, не зная пин-кода, расплачиваться от моего имени, например в интернете или простых магазинах?
— Вот это, честно, сказать, не знаю. Но береженого бог бережет – зайди, вон, да поменяй код, это 10 минут займет. А где встретил штуковину-то?
— Там-то. Но, честно сказать, был удивлен – думал, что такое только в штатах, а пишут про них только в журналах.
— Хех…в штатах =) ты же в России живешь. Пока американцы что-то придумывают, у нас уже сделают «анти». У них вирусы, у нас уже антивирусы и наоборот. Так что в стране желания грести деньги, ничего не делая, таких устройств не может не быть.
— Даже так! И много у нас… по Москве?
— Да хватает. Ты вот где живешь?
— Там-то
— Ну… недалеко от меня. Поискать – найдешь
— Интересно. И чего ж с ними никто не борется?
— Да как не борются… борются. Просто раз они есть, значит это кому-то надо.
— Верно, нет дыма без огня. А как начальство банков к этому относится, они в курсе?
(Взбодрившись) – Конечно! )
— Вах. Т.е, получается, что не убирают хотя бы только потому, что начальству это тоже выгодно?
(Улыбаясь) – Ну… всяко бывает. А тебе это вообще все зачем?
— Да вот, столкнулся случайно, хотел узнать.
— Смотри, осторожней. У вас вот есть какое-нибудь правоведение в институте?
— Нет, но что-то подобное было.
— И что, не учили, какие вопросы и кому можно задавать, а кому какие – нет?
— Не учили, но я к вам исключительно в мирных целях
— Да понятно. Просто иногда, задав безопасный, казалось бы, вопрос, можно вызывать неадекватную реакцию. То же самое и с поведением. Знал вот, что по банкомату стучать нельзя?
— Неа, а что, в ответ бьёт?
— Нет. Но это уже может попасть под порчу имущества. Так у нас на днях зашел один пьяный, стукнул – приехал фургон, скрутили и забрали. Там же датчиков полно внутри… и пойди докажи, что ты его не взломать хотел.
— Серьезно у вас тут. Ладно, давайте вернемся. Расскажите что-нибудь про их устройство, как крепят, как обслуживают?
— Ну а чего тут рассказывать. Как устроены, не знаю точно, но обнаружить не так уж сложно. Это бабулькам 80-летним, которых государство все это время наеВывало, уже не понять этих приколов, а ты если видишь, что что-то торчит – не суй и все, сними в другом месте.
— А если оторвут и смотаются?
— Ну оторви =) Сам понимаешь, такие вещи не без присмотра… не сразу, так потом где-то найдут. Похлопают по плечу, сам не заметишь.
— Интересно… и что, совсем никому нет дела до этого всего?
— Ну почему… бывают, иногда, показательные выступления – проезжают спецы, всем, кому надо пальцы загнут для галочки… а потом снова все на свои места встает.
— А у вас тут было чего интересного?
— Неа, это больше на банкоматах без банков, хотя всякое бывает.
— А, ну у вас-то тут банк вон, да…
— Максимум бывало, что деньги выхватят… но это ведь опять, чья ошибка? Вон, глянь… вышел с пачкой денег… чего вот не спрятать сразу, не убрать? Пересчитать же потом можно… или пин-коды вводят, не закрываясь… а подсмотреть тысячей способов можно. А потом жалуются…
— Где ж ваш автомат-то?
(улыбаясь) – Да я вон, на танке сегодня. Далеко не убегут, если что
Ладно, давай, не май месяц, пойду. Мотай на ус.— Успехов, благодарю!
В общем, вот такой диалог вышел, но конкретики почти никакой. Позже случайно мне удалось найти в сети человека в теме, которого повторно найти никак не удастся ) Я не занял у него много времени, но все же, немного информации, опять же подтверждающей мои догадки, появилось:
Я: Какие бывают по типам (способ хранения, способ передачи, питания)? Какие бывают по размерам? Какие примерно цены и от чего зависят? Откуда берутся – делают ли их серийно?
Он: Каждое устройство индивидуально по сути — затачивается под конкретный АТМ, т.к. основное требуемое свойство — незаметность. Серийно их никто не делает, т.к. это все же уголовно наказуемое деяние, но это не значит, что их все делают вручную. Цена на скиммер «под ключ» — от 5000 и выше. В основном это автономные устройства со встроенной памятью — «поставил, подождал, снял», вариантов с передачей данных у меня не было, но очевидно, что это гораздо безопаснее для владельцев.
// Тут собеседник не рассказал про размеры девайсов, но я нашел пару интересных изображений в интернете. Да-да, даже такая вот «зажигалка» (правильнее, «Кубик») в руке человека рядом с Вами в состоянии утянуть Ваше состояние.
Я: Как их крепят? Бывает тупо поверх клавы и щели. Но слышал, что чаще просто ставят камеры. Может еще что-то придумали?
Он: Все верно — в простых моделях крепится только на картоприемник + камера для снятия пинкода. Способов крепления камеры достаточно много.
// Окинув взглядом фотку банкомата, прикидываю, куда можно было бы спрятать камеру. Если это не «дополнительная» камера в банке, которая выглядит как настоящая, то вариантов остается не так много. Если человек высокий ростом, то камеру можно приклеить к верхней части АТМ, выпирающей над клавой – просто так их не увидишь, но слегка нагнувшись – легко. Или же можно повесить свою «лампу» для освещения, в прозрачный пластик которой спрятать «зёрнышко» от камеры (видели, каких размеров камеры в некоторых видео-домофонах? “.” – чуть больше этой точки)
Или вот как на фотке из инета – в коробочке для рекламок, изначально награжденной только информационной функцией.
Ну или ваш код могут тупо подсмотреть рядом стоящие люди
Поэтому зеркала на банкоматы клеят неспроста. Заботящиеся о клиентах банки на свои АТМ так же ставят специальные «заборы» на клавиатуру, которые помогают не палить код.
Я: Где чаще всего бывают – в закрытых или открытых банкоматах? Может какие-то банкоматы или банки особенно безответственно относятся к этому, а какие-то — дорожат клиентами? Излюбленные места обитания? Где больше — в Москве или Питере?
Он: Предпочтительнее открытые банкоматы. Чем больше проходимость народа — тем лучше. Насчет банков – хз. Любой фрикер тебе этого не скажет или заведомо «поменяет» нужные названия банков местам
Следят, конечно, все, но говорить о том что их АТМ заскиммили не будет никто. Где больше – имхо, в Питере. Но и в Москве, конечно, тоже хватает.Снова я: Еще немного по ценам – купить можно только в инете или в супермаркетах тоже продаются?
Что в этом случае меняется? Что делать человеку, если он снял скиммер? )Он: Готовый комплект, купленный на Митино или еще где — в 99% окажется нерабочим или уже использованным, и то, трудно найти то, что тебе надо. В интернете народ гораздо охотнее идет на контакт, но точно так же можно купить не то или же по завышенной цене. Цена, опять же, под заказ — от 5000. Если удалось снять скиммер — дело за малым — слить оттуда инфу и продать ее кардерам. Или дропам. Самому сливать денежный эквивалент — равноценно явке с повинной в органы.
// Хм, что-то опять эта цифра в 5K usd
На форумах же предложения совершенно разнятся – от 1К до 15.
Я: Кто вообще этим занимаются — ведь не просто пионеры-радиотехники? Как их устанавливают — под камерой банкомата каждый день ставят с утра и снимают перед приездом инкассаторов? Или даже они не помеха? )
Он: Кто занимается? Умные и осторожные фрикеры (не путать с фриками – моё прим.). Самый распространенный способ установки — после приезда и отъезда инкассаторской группы, через 5-10 минут «группа» возвращается. и опять уезжает. Схема приемлема для ОПГ, которые могут позволить имитировать спецодежду мастеров. Более простой вариант — установка на вечер-ночь, т.е. людей мало, инкасса не приедет гарантированно до утра (время приезда вычисляется простым наблюдением), но и безопасность выше. Еще устанавливают и снимают скиммеры обычно «шумной группой студентов», т.е. толпа окружает банкомат («блокирует лохов»), ставится скиммер… ну и варианты по фантазии…
Я: Хочется каких-то цифр ) Их риск хотя бы оправдан — насколько прибыльная такяа рыбалка? Или если не в баксах, то хотя бы в количестве дампов. Как часто тырят скиммеры? )
Он: Цена свободы у каждого разная, кто-то рискует, кто-то нет. Но не всегда же обязательно все делать самому
не обижай с % и все будет. Количество дампов = количеству карт вставленных в АТМ. Улов — никто никогда не говорил конкретных цифр. Но окупается не только аппарат, но и хватает на новый. Может слышал песню «В ресторане обеды, в доме нету соседей, а БВМ 7-ой серии — удачнее велосипеда» 
Я: Слышал
А что вообще делают с дампами, каков их дальнейший путь? Нужно ли человеку менять пин-код, если он только вставил карту, но не ввел код? Как быстро дамп попадает «в темные руки» и сколько у человека есть времени на спасение бабосов? Дальше делают копию карточки или что вообще можно сделать, имея дамп со снятым пином? Как долго занимает расшифровка или это дело 5 секунд? Он: см выше — их сливают кардерам или дропам. У кого какие контакты есть. Если пин не введен — менять его не нужно. Дамп попадает в руки дропов обычно через сутки-двое после снятия скиммера. Но если «операция» прошла успешно, человек узнает о том что с его счета ушли деньги только по смс-банкингу или при следующей проверке карты. Расшифровать что? Дамп? Дамп не расшифровывают. Его просто клонируют. Да, у дропов есть аппараты по клонированию карт (тоже дорогое удовольствие).
Уже не так все двусмысленно, как в первом диалоге, но тем не менее, картина все четче рисуется. Дали бы мне рукописи Да-Винчи, я бы их в миг разгадал
Полазив в инете по различным форумам, был удивлен тому, сколько же информации в свободном доступе. Схемы, распайки, прошивки, мануалы, пошаговые инструкции и помимо этого, самое главное – люди, обладающие самым ценным – знаниями, информацией.
Схема считывающей головки сканера
Схема GSM-скиммера
Просто так, естественно, никто ничего не расскажет ) Мне даже двусмысленно не решились что-то рассказать, это же их хлеб. С другой стороны – всех денег не обналичить, а кто-то в нашей стране до сих пор зарабатывает честно. Так и получается – с одного конца провода — люди, боящиеся погонов, с другого – люди, боящиеся потерять деньги. И все же, не стоит забывать, что кто-то еще да работает честно.
Какие из этого делать выводы, каждый для себя делает сам
Для тех же, кому лень додумать, дам пару советов, которые помогут не потерять бездарно последние купоны на карточке:1. Прежде чем подойти к банкомату, оглянитесь. Пьяны, заметили что-то странное-подозрительное – отложите съем до лучших времен. Не паранойи ради, безопасности для – оглядывайтесь по сторонам так же, как и при переходе через дорогу.
2. Вы должны четко знать, как выглядит банкомат Вашего банка (если не снимаете деньги с комиссией со всего подряд). В большинстве своем они имеют: НЕвыпирающую из ровной плоскости клавиатуру, плоскую или вдавленную щель приемника карт. Если видите, что клавиатура выпирает хотя бы на пару миллиметров или картоприемник торчит наружу – снимите деньги в другом месте. Если надумаете проявить отвагу и решите позвонить, неважно, куда – в 02 или в службу банка – делайте это не у банкомата!
3. Вставив карточку не спешите вводить пин-код – осмотритесь еще раз =) Ни-че-го нестандартного на банкомате быть не должно. Если кто-то рядом стоит, вводите код так, чтобы его не увидели.
4. Сняв деньги, не размахивайте ими на право и налево. Вытащили карту > убрали > вытащили деньги > быстро пересчитали и сразу надежно убрали > взяли чек > испарились.
5. Однажды вам могут позвонить якобы из банка и сказать: «Здравствуйте, укважаемый Лошидзе Баобаб Бабосович, вас беспокоит служба безопасности Вашего банка. В целях безопасности наших клиентов, мы переводим их с 4-значного пин-кода на 6-значный. Просьба сообщить Вас нынешний пин-код и новый желаемый или же то же самое проделать, придя к нам в банк». Естественно, переться и возиться с бумажками многим будет лень, поэтому, смею предположить, что добрая половина тупо скажет свой код. Поэтому…. НИКОГДА и НИКОМУ не говорите свой пин-код! Ни тётям в магазине на кассе, ни, тем более, дядям. Даже работники банка – от тёток на ресепшене до совета директоров – ни под каким предлогом. У них и без этого полно вариантов на тему как оставить вас без штанов
6. Если Вас уже бьют – тупо громко орите — их все равно больше ;=)))
На десерт – пара фоток, как может выглядеть ваш похититель:
Шутко )
1. Клавиатура может выглядеть так:
Обычно кнопки – плоские, но бывает, что и кнопки выпирают… Не-не-не, в них точно ничего нет, это уже точно паранойя… или…
))
2. Картоприемник:
Девайс на последней картинке вызывает у меня некоторые сомнения – с одной стороны, ее правая часть свободна (часть, где окажется магнитная лента), т.е. по сути, сканера там уместиться не должно и этот девайс, в итоге – так называемый антискиммер. Но здесь он сделан настолько ужасно (в том числе и по исполнению), что от скиммера его не отличить. Или же его можно оторвать и приклеить на его место скиммер… в общем, глупость сделали )
Насчет антискиммеров — обезопасить картоприемник банки могли бы без проблем – использовать абсолютно плоскую щель, специальные неровности, мешающие установке поверх любого объекта – но опять же… хотели бы – сделали ) Вот примеры попыток усложнить жизнь:
(Тоже глупая, на самом деле, затея, т.к. скиммер замаскировать под такое дело легко, зато даже сам по себе антискиммер опять же уже наводит на какие-то мысли)
Иногда можно встретить наклейки или стенды «как должен выглядеть банкомат», и, мол, если он выглядит иначе, не пользуйтесь им. Понятное дело, что поверх этого можно наклеить-повесить что угодно
ВСЁ, лишь бы не работать! )Успехов!
