Страница 1 из 2
Очередное интересное техническое преступление
Добавлено: 30 июн 2007, 14:05
Marmot
Re: Очередное интересное техническое преступление
Добавлено: 30 июн 2007, 15:56
ura
Т.е. надо подменить аппарат в месте продажи. Звучит как сговор с кассиром/менеджером?
Далее меня интересует факт настройки такого девайса. Я так наивно полагал, что простая подмена ничего не даст, что серийный номер, всякие пароли, явки всетаки присутствуют. Неужели воткнул и все, транзакции пошли только потому что телефонная линия считается априори VPN? Много недосказанного с технической точки зрения данного жульничества.
Добавлено: 30 июн 2007, 19:01
Niki
Прочитал статию, ничего не понял.
Вообще пин шифруется прямо в пинпаде.
То есть нигде в канале он откритим не проходит.Не поимаешь его в канале.
Номер карточки и все что на треке в канале есть а пин толко шифрованний.
Обично ПИН захвативают или видео камерои или накладкои на клаву пин пада (или банкомата).
Вообще в стате муть какая то.
Добавлено: 30 июн 2007, 19:08
Niki
Заменит ПИНПАД не реално. Мужно два ключа (мастер и сессионний которим все шифруется).
Сессионный все время меняется а мастер никакои манагер/кассир коnечно же не знает.
Добавлено: 30 июн 2007, 19:32
Аман Ванкуверский
Niki писал(а):
Вообще пин шифруется прямо в пинпаде.
То есть нигде в канале он откритим не проходит.Не поимаешь его в канале.
так этот самый пинпад и подменяли, вставляя вместо него такой же с keylogger-ом. Но меня мучает тот же вопрос, что и ura - в этих девайсах по идее какой-то ключ должен быть hard-coded..
Добавлено: 30 июн 2007, 23:50
BM
Niki писал(а):Заменит ПИНПАД не реално. Мужно два ключа (мастер и сессионний которим все шифруется).
Сессионный все время меняется а мастер никакои манагер/кассир коnечно же не знает.
Хех... Всё реально если захотеть..
А вы работника банка не допускаете соучастником?
Re: Очередное интересное техническое преступление
Добавлено: 01 июл 2007, 08:05
папа Карло
ничего крутого в этом нет... если ты занимался пластиковыми картами то это элементарная фигня....
Re: Очередное интересное техническое преступление
Добавлено: 01 июл 2007, 08:08
папа Карло
ura писал(а):
Т.е. надо подменить аппарат в месте продажи. Звучит как сговор с кассиром/менеджером?
Далее меня интересует факт настройки такого девайса. Я так наивно полагал, что простая подмена ничего не даст, что серийный номер, всякие пароли, явки всетаки присутствуют. Неужели воткнул и все, транзакции пошли только потому что телефонная линия считается априори VPN? Много недосказанного с технической точки зрения данного жульничества.
там не все так просто.... для того, чтобы этот аппарат что-то отправил у него должен быть правильный сертификат... если аппарат онлайновый то выдернув его из банковской сети... на консоли в банке загорится "красная лампочка" сразу-же... и это было у нас в россии уже в 1996 году... возможно тут все по другому
Добавлено: 01 июл 2007, 08:12
папа Карло
BM писал(а):Niki писал(а):Заменит ПИНПАД не реално. Мужно два ключа (мастер и сессионний которим все шифруется).
Сессионный все время меняется а мастер никакои манагер/кассир коnечно же не знает.
Хех... Всё реально если захотеть..
А вы работника банка не допускаете соучастником?
для того, чтобы сделать то, что они сделали им надо либо иметь опыт работы в сфере или иметь инсайдера в банке или долго и крапотливо хакать дома.... девайс свиду простенький... на самом деле в нем такой же сертификат, модем итд итп....
Добавлено: 01 июл 2007, 08:18
Fed
мораль - пользуйтесь кредитными, а не дебитовыми картами, не забывая проверять регулярно выписку по счету, и будет вам счастие.
Добавлено: 01 июл 2007, 09:16
oblom
там не все так просто.... для того, чтобы этот аппарат что-то отправил у него должен быть правильный сертификат... если аппарат онлайновый то выдернув его из банковской сети... на консоли в банке загорится "красная лампочка" сразу-же... и это было у нас в россии уже в 1996 году... возможно тут все по другому Smile
бедные ритейлеры используют модемную связь, не онлайн он у них, подключается только на момент авторизации
Добавлено: 01 июл 2007, 09:30
папа Карло
oblom писал(а):там не все так просто.... для того, чтобы этот аппарат что-то отправил у него должен быть правильный сертификат... если аппарат онлайновый то выдернув его из банковской сети... на консоли в банке загорится "красная лампочка" сразу-же... и это было у нас в россии уже в 1996 году... возможно тут все по другому Smile
бедные ритейлеры используют модемную связь, не онлайн он у них, подключается только на момент авторизации
как вариант, но тебе все еще нужен сертификат... без больших знаний системы такой финт ушами можно сделать только если пинпад имеет также кардридер и подключается "по проводу" к основному дивайсу где все сертификаты итд....
Добавлено: 01 июл 2007, 09:39
oblom
либо полиция не все говорит, либо ритейлеры дурака валяют....а скорее всего и то и другое
Добавлено: 01 июл 2007, 09:55
папа Карло
oblom писал(а):либо полиция не все говорит, либо ритейлеры дурака валяют....а скорее всего и то и другое
им много говорить тоже не стОит... а то креативных людей вагон
Добавлено: 01 июл 2007, 19:14
Stanislav
BM писал(а):Niki писал(а):Заменит ПИНПАД не реално. Мужно два ключа (мастер и сессионний которим все шифруется).
Сессионный все время меняется а мастер никакои манагер/кассир коnечно же не знает.
Хех... Всё реально если захотеть..
А вы работника банка не допускаете соучастником?
Какие соучастники? Все намного проще! Вот, например, компания Блокбастер проводила замену старых терминалов на новые. Думаете ихний техотдел менял? Нифига - наняли для этого компашку, где я раньше работал, предоставили инструкцию и железо - и все, ходи абсолютно чужой дядя и меняй на что хочешь
А кассиры, работники банка даже не вовлечены в этот процесс. Пришли 2 дяди поставили какие-то новые девайсы и ушли....