Очередное интересное техническое преступление

[Marmot]

http://www.canada.com/vancouversun/stor ... 22&k=97386

Круто придумано

[ura]

http://www.canada.com/vancouversun/stor ... 22&k=97386

Круто придумано

Т.е. надо подменить аппарат в месте продажи. Звучит как сговор с кассиром/менеджером?

Далее меня интересует факт настройки такого девайса. Я так наивно полагал, что простая подмена ничего не даст, что серийный номер, всякие пароли, явки всетаки присутствуют. Неужели воткнул и все, транзакции пошли только потому что телефонная линия считается априори VPN? Много недосказанного с технической точки зрения данного жульничества.

[Niki]

Прочитал статию, ничего не понял.
Вообще пин шифруется прямо в пинпаде.
То есть нигде в канале он откритим не проходит.Не поимаешь его в канале.
Номер карточки и все что на треке в канале есть а пин толко шифрованний.
Обично ПИН захвативают или видео камерои или накладкои на клаву пин пада (или банкомата).
Вообще в стате муть какая то.

[Niki]

Заменит ПИНПАД не реално. Мужно два ключа (мастер и сессионний которим все шифруется).
Сессионный все время меняется а мастер никакои манагер/кассир коnечно же не знает.

[Аман Ванкуверский]

Вообще пин шифруется прямо в пинпаде.
То есть нигде в канале он откритим не проходит.Не поимаешь его в канале.

так этот самый пинпад и подменяли, вставляя вместо него такой же с keylogger-ом. Но меня мучает тот же вопрос, что и ura - в этих девайсах по идее какой-то ключ должен быть hard-coded..

[BM]

Заменит ПИНПАД не реално. Мужно два ключа (мастер и сессионний которим все шифруется).
Сессионный все время меняется а мастер никакои манагер/кассир коnечно же не знает.

Хех... Всё реально если захотеть..
А вы работника банка не допускаете соучастником?

[папа Карло]

http://www.canada.com/vancouversun/stor ... 22&k=97386

Круто придумано

ничего крутого в этом нет... если ты занимался пластиковыми картами то это элементарная фигня....

[папа Карло]

http://www.canada.com/vancouversun/stor ... 22&k=97386

Круто придумано

Т.е. надо подменить аппарат в месте продажи. Звучит как сговор с кассиром/менеджером?

Далее меня интересует факт настройки такого девайса. Я так наивно полагал, что простая подмена ничего не даст, что серийный номер, всякие пароли, явки всетаки присутствуют. Неужели воткнул и все, транзакции пошли только потому что телефонная линия считается априори VPN? Много недосказанного с технической точки зрения данного жульничества.

там не все так просто.... для того, чтобы этот аппарат что-то отправил у него должен быть правильный сертификат... если аппарат онлайновый то выдернув его из банковской сети... на консоли в банке загорится "красная лампочка" сразу-же... и это было у нас в россии уже в 1996 году... возможно тут все по другому

[папа Карло]

Заменит ПИНПАД не реално. Мужно два ключа (мастер и сессионний которим все шифруется).
Сессионный все время меняется а мастер никакои манагер/кассир коnечно же не знает.

Хех... Всё реально если захотеть..
А вы работника банка не допускаете соучастником?

для того, чтобы сделать то, что они сделали им надо либо иметь опыт работы в сфере или иметь инсайдера в банке или долго и крапотливо хакать дома.... девайс свиду простенький... на самом деле в нем такой же сертификат, модем итд итп....

[Fed]

мораль - пользуйтесь кредитными, а не дебитовыми картами, не забывая проверять регулярно выписку по счету, и будет вам счастие.

[oblom]

там не все так просто.... для того, чтобы этот аппарат что-то отправил у него должен быть правильный сертификат... если аппарат онлайновый то выдернув его из банковской сети... на консоли в банке загорится "красная лампочка" сразу-же... и это было у нас в россии уже в 1996 году... возможно тут все по другому Smile

бедные ритейлеры используют модемную связь, не онлайн он у них, подключается только на момент авторизации

[папа Карло]

там не все так просто.... для того, чтобы этот аппарат что-то отправил у него должен быть правильный сертификат... если аппарат онлайновый то выдернув его из банковской сети... на консоли в банке загорится "красная лампочка" сразу-же... и это было у нас в россии уже в 1996 году... возможно тут все по другому Smile

бедные ритейлеры используют модемную связь, не онлайн он у них, подключается только на момент авторизации

как вариант, но тебе все еще нужен сертификат... без больших знаний системы такой финт ушами можно сделать только если пинпад имеет также кардридер и подключается "по проводу" к основному дивайсу где все сертификаты итд....

[oblom]

либо полиция не все говорит, либо ритейлеры дурака валяют....а скорее всего и то и другое

[папа Карло]

либо полиция не все говорит, либо ритейлеры дурака валяют....а скорее всего и то и другое

им много говорить тоже не стОит... а то креативных людей вагон

[Stanislav]

Заменит ПИНПАД не реално. Мужно два ключа (мастер и сессионний которим все шифруется).
Сессионный все время меняется а мастер никакои манагер/кассир коnечно же не знает.

Хех... Всё реально если захотеть..
А вы работника банка не допускаете соучастником?

Какие соучастники? Все намного проще! Вот, например, компания Блокбастер проводила замену старых терминалов на новые. Думаете ихний техотдел менял? Нифига - наняли для этого компашку, где я раньше работал, предоставили инструкцию и железо - и все, ходи абсолютно чужой дядя и меняй на что хочешь А кассиры, работники банка даже не вовлечены в этот процесс. Пришли 2 дяди поставили какие-то новые девайсы и ушли....