Cum a facut rost de PIN?!

Hmm ... cam trasa de par, tocmai locul de unde a facut rost the numerele de card SI PIN-ul atasat este esenta povestii. Greu de crezut ca lucrurile astea se gasesc "de vanzare" asa oricum, oricui. Ca sa ai si PIN-ul de la niste carduri cam trebuie sa ai relatii in "interior", la administratorii bazelor de date ale companiilor de procesare a cardurilor. In general cam de acolo pleaca astfel de informatii si cu siguranta nu se vand online oricum, oricui. Ca asa ceva ar putea exista online ma ingrozeste, de-asta tind sa nu cred. Dar daca este vorba doar de carduri emise in Romania situatia poate fi plauzibila. Mai degraba le-a luat de la alte retele care reusesc sa cloneze carduri mascand bancomatele (tactica bine-cunoscuta). Si intr-un caz si intr-altul baiatul asta este doar un "functionar" intr-un aparat birocratic mult mai mare. Este doar cel care trebuia sa scoata banii din bancomate. Poezia cu ce sa spuna anchetatorilor este practicata dinainte, sperand sa protejeze reteaua din spate, el aparent "recunoaste" tot (folosing pistele astea false), face cativa ani de puscarie, se poarta frumos si iese repede. Reteaua insa ramane. Sper/presupun ca politia nu inghite povesti de-astea si macar incearca sa ajunga la grangurii mari. Si totusi cum exact a fost prins? Ma intreb si eu, cand un astfel de individ este depistat, de ce politia nu-l pune mai intai sub urmarire, cel putin telefonul si activitatea online, ca sa incerce sa ajunga la toata reteaua? L-au arestat pe strada si le-a convenit si lor povestea lui? Ce atata stres si pe ei ... Doamna Claudia Spiridon, poate o investigatie mai profunda in practica politiei in cazul asta nu ar fi rea?

Nu vreau sa le dau idei la diversi viitori infractori dar sint numeroase site-uri (de exemplu Rescator) care vind toate aceste date (de clonare a cardului, inclusiv PIN-ul) sub denumirea de "fullz" majoritatea sint operate de benzi de nemernici din foste republici sovietice unde sint tolerati atata vreme cat fac victime in afara tarii lor. Datele sint obtinute fie prin instalarea de malware pe POS-uri (captureaza inculsiv codul pin), cum a fost cazul Target si Home Depot de acum un an sau prin dispozitive de skimming installate pe ATM-uri, in care caz PIN-ul este capturat cu o camera video minuscula sau un pad fals. Verificati intotdeauna ATM-ul sa nu aiba atasate asfel de dispozitive inainte de a introduce cardul ca sa nu cadeti victime unor astfel de practici. Sper sa devina imposibil sau macar mult mai greu pentru acesti nemernici cind banda magnetica va fi inlocuta peste tot in lume cu chip EMV (cum s-a facut deja in Europa). Daca vreti mai multe detalii despre aceasta problema si altele legate de securitatea cibernetica cautati blogul jurnalistului Brian Krebs. Administratorii bazelor de date care lucreaza in banci NU au access la codul PIN, acesta este pastrat in bazele de date sub forma unui "hash", asta inseamna ca asupra codului PIN original este aplicata o functie care nu e reversibila ca sa se ajunga la hash-ul cu care e comparat din baza de date.

@George Done - merci pentru Brian Krebs, interesant. Intr-adevar cu hash-ul dar doar daca l-au implementat. Si apoi PIN-ul poate fi expus in log-uri si un baiat de la suport si chiar security ar putea simti ce "marfa" are pe mana doar uitandu-se prin loguri. Am vazut cateva cazuri in care parolele, desi stocate ca hash in DB, erau vizible in log asa cum le introducea utilizatorul :) Dar presupun ca un procesator de carduri trebuie sa indeplineasca niste standarde de securitate si fara hash si cu practici de-astea nu le-ar trece. Ramane treaba ca se cumpara online pur si simplu ... dar si aici sunt curios de ce nebunii aia care risca atat de mult sa procure pin-uri le vand online, si pe bani asa putini.

Asa este, standardul se numeste PCI DSS si firmele care sint implicate in procesarea de carti de credit sint auditate dupa acest standard: www.marketwatch.ro/articol/5279/Cinci_intrebari_privind_standardul_de_securitate_PCI_DSS/ Din pacate nu este atat de cuprinzatoare pe cat ar trebui si exista destule puncte slabe care sint exploatate de hackeri. Problema mare este tocmai aceea ca riscurile sint mici pentru cei care sint implicati (de la un anumit nivel in sus). Cei care retrag banii de la bancomate cum a fost acest individ din Constanta sint arestati mai devreme sau mai tarziu. Dar cei care vind aceste date sint undeva in foste republici sovietice care nu raspund cum ar trebui unor cereri de extradare. Fura milioane de "fullz" la un hack si apoi le vind cite zece sau o suta la pachet folosind o valuta virtuala cum ar fi WebMoney sau BitCoin. Interesant e ca de multe ori chiar bancile cumpara date de la ei (prin interpusi) Fac asta ca sa incerce sa identifice elemente comune (locuri unde toate cardurile au fost folosite, ca de exemplu un anume comerciant, magazin sau restaurant). Cu aceasta informatie pot apoi bloca toate cardurile folosite in locul respectiv si limita oarecum paguba. Si bineinteles se face o ancheta pentru a vedea cum a fost compromisa informatia, angajat corupt, hack, skimmers si asa mai departe. Cu toate acestea pierderile sint de sute de milioane de euro, si acestea sint acoperite pina la urma de noi toti cei care folosim carduri prin comisioane marite care ajung pina urma in pretul produselor. Persoanele carora li se fura bani din cont le sint restituiti banii cu conditia sa anunte tranzactia frauduloasa in mai putin de 30 de zile. Uneoori exista un risk propriu de 50 de euro, dar cele mai multe banci restituie paguba integral. Dar ceva bataie de cap tot este.

sunt convins ca era cuplat cu functionari bancari.asta e pista pe care trebuie sa mearga politia !

Daca de codul pin si de datele utilizatorului mai faci rost, cum a copiat si chip-ul de pe card ? stiu ca toate cardurile au acest chip, care este foarte greu de copiat.

Nu a copiat chip-ul, ci doar banda magnetica. Din pacate bancomatele in Romania, si oriunde altundeva incearca sa citeasca si banda magnetica daca nu gasesc un chip, asta in primul rand pentru cetatenii tarilor unde nu s-a introdus chip-ul pe scara larga (USA, Mexic, unele tari din Asia) care ar putea veni ca turisti aici, apoi pentru cazul in care chip-ul se defecteaza. Acesta este si motivul pt. care cardul Dvs. are inca o banda magnetica, pentru a-l putea folosi cind calatoriti in tarile care nu au introdus inca EMV. In numele convenientei se introduce o vulnerabilitate.