Около полугода назад как раз набирали таких "подрядчиков". Половина интернета была забита предложениями о работе по такой схеме. С помощью нехитрого приспособления получаешь доступ к порту USB банкомата, подключаешь ноут, запускаешь загодя скачанную программку, ждёшь 2-3 минуты, и программка сама устанавливает хакерский программный модуль в банкомат. Получаешь процент с каждой операции, и небольшой процент от своей прибыли перечисляешь авторам метода.
Так что новость запоздала минимум на полгода.
Таким, что для того, чтобы диспенсер начал выдавать бумажки из кассеты, необходима команда, которая подается на шину только в зашифрованном виде. То есть изначально надо подать команду не на шину, а на клавиатуру.
В Банке России заявили, что о подобных инцидентах не осведомлены. Поскольку как такового перевода денежных средств нет, а есть физическое воздействие на банкомат, эти случаи сами пострадавшие банки могут не включать в отчетность и не предавать дело огласке.
А как же отчетность расходования средств перед органами контроля? Их написанного напрашивается вывод, что банк России открыто заявил, что они жулики.
Ну какой же блин бред!!! хоть бы загуглили! Устройство не подключается к диспенсеру и вообще никакое "устройство" не подключается. Подключаются к харду если могут, если не могут меняют хард и выгружают бабки. Работает тема только на старых моделях банкоматов, где нет защиты диспенсера. Работают ребята не в Москве и МО, а по всему миру. Коллеги из Джет не имеют отношения к банкоматам и вряд ли комментировали бы ситуацию, тем более, что подключение к сигнализации никак не поможет в борьбе с этим видом мошенничества.
Владимир, я не сервисник, можете не дискутировать) У меня более широкое направление в плане банкоматов... Неделю назад я общался с представителем одной из крупных компаний поставщиков банкоматов, как раз по этому направлению. Коллега из Германии подробно рассказывал как и что происходит, с видео и фото... Знания подтягивать никому не повредит, спасибо за совет) Если будет не лень, покурите тему, интересная) Процессинг тоже кстати зря вспомнили, он не участвует в выдаче с зараженного устройства. Хорошего дня.
Не представляете с каким огромным любопытством ознакомился бы с этой теорией.
Это сродни тому, что если на старой "электоронике" "Ну, погоди!" поймать 1000 яиц и игра покажет мультик.
Одно могу точно сказать, без открытой двери сейфа в сервисном режиме или без процессинга в рабочем режиме бабки из банкомата вылетают только в фанстастических фильмах.
Открытая дверь сводит на нет все коробочки, а вмешаться в работу процессинга, заменив хард, не возможно, потому что шифрование инфы идет на другом уровне и к системнику отношения не имеет.
Я сказал ДОПУСТИМ, причем допущено не мной, а собеседником :)
Самому смешно, но реально ДОПУСТИМ такую ситуацию.
И ладно бы современные средства защиты от шаловливых рук, типа токена... :)
Так и злодеи не сидят на месте со времен электроники) На самом деле очень интересные вещи придумывают... Есть прецеденты заражения банкоматов через сетку Банка и дальнейшую выдачу удаленно. Один стоит у банкомата, созванивается с напарником, который отправляет команды на выдачу... Но ИМХО тут чистый инсайд... Так что техника мошенничества развивается на шаг быстрее способов защиты.
Ну... человеческий фактор - это классика хакерства.
Тут хоть ракету запускай... если датчик положения забит кувалдой вверх ногами, то и полетит так же. Ни одна система стабилизации не спасет. :)
Хакер-практикант.. это не хакер, а обычный взломщик с техническим устройством. К специалистам по информационным технологиям эти люди не имеют никакого отношения.
да уже все придумано))) просто многие банки не хотят тратиться даже минимально - даже с технологических ножек не снимают, не говоря уже о том, чтобы прикрутить банкомат к полу... а о сигнализации вообще молчу - это удел не многих))) а киперы на диспенсер ставят единицы, а с кипером подключение к ноутбуку теряет всякий смысл))).... экономят на безопасности - теряют в другом))))
Давайте теперь на фишках всю дичь копировать с новостных сайтов. Все радостно пишут про технологию BlackBox, однако нигде эта технология не описана даже примерно. К примеру, чтобы диспенсер банкомата NCR начал выдавать все купюры из определенной кассеты, мало перевести банкомат в инженерный режим с помощью перезагрузки компьютера и дискеты с ПО. На диспенсере стоит простая защита - маленький тумблер в труднодоступном месте. Пока этот тумблер не перещелкнут в иное положение, диспенсер денег не выдаст даже в инженерном режиме. Про "подключение" к диспенсеру через просверленное отверстие в сейфе верится с трудом. Скорее всего, новостные сайты радостно скопировали "горячую" новость, как обычно, не разбираясь в деталях.
Вся механика, которая подвергается износу, менялась. Шестерни, ремни и проч. Насколько помню, нареканий на нашу технику не было ни у кого, кроме Албании. Но там был полный П. После их предъявы насчет качества банкоматов в первой партии вместе со второй партией туда вылетели два наших инженера. Сама партия около 20 штук доставлялась туда фурой по дороге. Тут загрузили, опечатали, там по прибытию вместе с нашими инженерами начали разгрузку и ввод в эксплуатацию. Масса банкомата 940 кг. Картина маслом - эти абреки подгоняют к фуре автопогрузчик, подцепляют палету с банкоматом, волоком вытаскивают ее, а автопогрузчик не держит массу и палета с банкоматом со всей дури грохается о бетонный пол склада. После этого распакованный банкомат странным образом не работает. Реакция абреков - это ВЫ виноваты, не сильно ударили же при разгрузке!
На новых стоит датчик наклона и датчик удара. По стандартам, приехал банкомат с красными датчиками - назад отправляем. Был разок курьезный случай. Безопасник выпытывал, что мы там смотрим, объяснили. А он возьми да долбани по наружной стенке кулачищем в место крепления датчика. Красная шторка датчика удара и упала. А мы принять не можем :) Нам его потом сдавать надо дальше с тем же требованием. В итоге поплелся писать объяснительную (разгрузка завершена, акт разгрузки подписан, акт приема - нет). Потом банкомат ездил с целой папкой согласований и разрешений в потрохах.
Скажите, чем тестовый режим принципиально отличается от боевого? В боевом режиме на контроллер диспенсера летит команда от АПТРЫ/ПроКЭШ/Прочего_вендорного_ПО. В тестовом от тестового (кдиаг, атмдеск). Рычажки сделаны для того, чтобы обслуживающий инженер не мог тестовыми утилитами вытащить бабло из кассет, благо у тех же NCR сервисный 751 ключик один у всех. У винкора та же фигня - тестовое по требует открыть дверь сейфа. Но эта защита чисто в самом тестовом ПО, не более. Я ж написал что нужно сделать для того, чтобы обычной заменой управляющего устройства, посылающего команды контроллеру, нельзя из закрытого сейфа вытащить бабки, а не то как, классически работает.
Диспенсер никак не связан с пин-падом и ключами в нем, ему не с чем сравнивать прилетающие команды. Сейчас вроде как такое мутят, но я не в курсе что конкретно.
>>>Если кто-то ошибется и в кассету для 100 руб, напихает 5000 - вас ждет сюрприз,
Никакого сюрприза, только разве при убитой измерительной станции или изначально неправильно забитыми данными по банкнотам. Вы для этого прописываете параметры банкнот (на NCR) или делаете Reference Value (для винкоров). Винкор гарантированно отличает 100 от 5000.
Я уже написал про то как все работает.
Писать про токены, необходимость перезагрузки для выхода в сервисный режим и хардовую блокировку по конечным выключателям я даже не буду по причине того, что это второй и не последний уровень безопасности.
Про то, что защита исключительно в тестовом ПО, это горячечный бред сивой кобылы.
Вы почему-то не хотете запихать себе в голову, что "обычной заменой управляющего устройства..." хрен отделаешься.
Банкомат, бл@дь, это не ОБЫЧНОЕ УСТРОЙСТВО, а система повышеннной безопасности и сохранности. Куй знает, как это до вашего сознания донести.
Вотп ример:
Ваш кореш, бухой в дрова, следит а тем, чтобы на дискотеке вам вломили. Он - ваш телохранитель. Ваша безопасность. Так вот.... у Путина, тоже есть телохранитель. Так вот уровень банкомата - телохранитель Путина. А вы меряете его мерками вашего бухого кореша.
Я и без этого вполне развернуто дал ответ, почему в статье бред написан.
Тема закрыта.
93 комментария
7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Так что новость запоздала минимум на полгода.
Удалить комментарий?
Удалить ОтменаУдалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить ОтменаУдалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
А как же отчетность расходования средств перед органами контроля? Их написанного напрашивается вывод, что банк России открыто заявил, что они жулики.
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Это сродни тому, что если на старой "электоронике" "Ну, погоди!" поймать 1000 яиц и игра покажет мультик.
Одно могу точно сказать, без открытой двери сейфа в сервисном режиме или без процессинга в рабочем режиме бабки из банкомата вылетают только в фанстастических фильмах.
Открытая дверь сводит на нет все коробочки, а вмешаться в работу процессинга, заменив хард, не возможно, потому что шифрование инфы идет на другом уровне и к системнику отношения не имеет.
Удалить комментарий?
Удалить Отмена7 лет назад
Самому смешно, но реально ДОПУСТИМ такую ситуацию.
И ладно бы современные средства защиты от шаловливых рук, типа токена... :)
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Тут хоть ракету запускай... если датчик положения забит кувалдой вверх ногами, то и полетит так же. Ни одна система стабилизации не спасет. :)
Удалить комментарий?
Удалить ОтменаУдалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена7 лет назад
Диспенсер никак не связан с пин-падом и ключами в нем, ему не с чем сравнивать прилетающие команды. Сейчас вроде как такое мутят, но я не в курсе что конкретно.
>>>Если кто-то ошибется и в кассету для 100 руб, напихает 5000 - вас ждет сюрприз,
Никакого сюрприза, только разве при убитой измерительной станции или изначально неправильно забитыми данными по банкнотам. Вы для этого прописываете параметры банкнот (на NCR) или делаете Reference Value (для винкоров). Винкор гарантированно отличает 100 от 5000.
Удалить комментарий?
Удалить Отмена7 лет назад
Писать про токены, необходимость перезагрузки для выхода в сервисный режим и хардовую блокировку по конечным выключателям я даже не буду по причине того, что это второй и не последний уровень безопасности.
Про то, что защита исключительно в тестовом ПО, это горячечный бред сивой кобылы.
Вы почему-то не хотете запихать себе в голову, что "обычной заменой управляющего устройства..." хрен отделаешься.
Банкомат, бл@дь, это не ОБЫЧНОЕ УСТРОЙСТВО, а система повышеннной безопасности и сохранности. Куй знает, как это до вашего сознания донести.
Вотп ример:
Ваш кореш, бухой в дрова, следит а тем, чтобы на дискотеке вам вломили. Он - ваш телохранитель. Ваша безопасность. Так вот.... у Путина, тоже есть телохранитель. Так вот уровень банкомата - телохранитель Путина. А вы меряете его мерками вашего бухого кореша.
Я и без этого вполне развернуто дал ответ, почему в статье бред написан.
Тема закрыта.
Удалить комментарий?
Удалить Отмена7 лет назад
Чертово подсознание
Удалить комментарий?
Удалить Отмена7 лет назад
Удалить комментарий?
Удалить Отмена