Estas aquiContenido / Manipulan cajeros mediante reproductores MP3
Manipulan cajeros mediante reproductores MP3
Todo se descubrió por pura casualidad. Un vehículo es interceptado por la policía londinense por realizar un giro prohibido. En él viaja Maxwell Parsons, un británico con antecedentes por interceptación fraudulenta de las comunicaciones, en cuyo poder se halla una tarjeta de crédito falsa. El consiguiente registro de su domicilio pone a los agentes sobre la pista de que Parsons podría ser el cerebro de una banda dedicada a la clonación de tarjetas de crédito, que habría realizado compras fraudulentas por importe de unos 300.000 euros.
Pero lo más curioso es el método utilizado por la banda para hacerse con números de tarjeta y fechas de expiración válidas...
Un método nada original por otra parte, puesto que la banda lo habría copiado de delincuentes malayos.
Consistía en localizar cajeros autónomos y colocar un reproductor MP3 entre el cable de salida de datos del cajero y la toma telefónica de la pared.
El reproductor MP3 grababa los tonos de la comunicación (similares a los que produce un fax o un módem).
Pasando después esos tonos grabados por un software ilegal adquirido en Ucrania, se identificaban los números de las tarjetas y sus fechas de caducidad, datos utilizados después para codificar y clonar las tarjetas.
Fuente:
- Hole-in-wall thief used MP3 player (The Times)
- 8316 lecturas
Hola a todos, Me cuesta mucho creer que la comunicación entre el cajero y la ´central´ no esté cifrada o que, estándolo, sea tan simple tener acceso a los datos como colocar un dispositivo de escucha a la salida del mismo. ¿Alguien puede aportar algo de luz al respecto?
En la noticia se habla de un software ruso y un MLT canadiense, así como de los altos conocimientos sobre el sistema que tenía este individuo.
Nadie dijo que bastara con colocar una trompetilla cerca del enchufe, no seamos burros.
No. Los 2 protcolos que yo conozco transmiten los datos de la transacción sin cifrar. Lo único que va cifrado es el PIN, y ese no lo cifra el software del cajero sino que el mismo teclado devuelve el pin ya cifrado "por hardware", o sea, por un software pero que corre en un chip especializado y "a prueba de trampas" en el sentido de que o bien está metido en un bloque sellado de resina o bien tiene un switch en la tapa que borra completamente la memoria interna al querer abrirlo, perdiendo así la clave de cifrado que está almacenada. Esto es necesario porque el cifrado se hace con DES en lugar de usar un algoritmo asimétrico que haría esto innecesario.
Con respecto a que los datos de la transacción vayan sin cifrar, en realidad no es una grave vulnerabilidad porque en realidad lo que va "a la vista" es lo mismo que está a la vista cada vez que sacas la tarjeta del bolsillo. Con la única diferencia, tal vez, de que interceptando la comunicación de un cajero se peuden obtener fácil y rápidamente muchos números.
Alejandro Nestor Vargas
http://theflatearthsociety.org/
Realmente te espantarias si conocieras la "seguridad" de la banca. Al final todo se reduce a lo mismo: DINERO Y APARIENCIAS. DINERO ------ La mayoria de las entidades poseen una infraestructura antigua (muy), y como ya sabes, actualizar TOOOODA la infraestructura es costosisimo. Y con infr. me refiero a todos los procesos y entidades fisicas que intervienen en una transaccion, desde el cajero, pasando por la pasarela, pasando por el metodo de cifrado, pasando por el procedimiento de inyeccion de claves, etc etc etc. Ah,y se me olvidaba algo, la formacion del personal, tema bastante descuidado en estas epocas. Cuanto mas incompetentes sean los empleados-trabajadores (no los culpo de nada), menos pueden entender el proceso y por ende, menos pueden velar por su correcto funcionamiento. Una de las tantas consecuencias de la contratacion barata de los empleados. Recordemos que la cadena siempre parte por el eslabon mas debil.... APARIENCIAS ----------- Deberias ver los protocolos de seguridad de estos ambientes.... Son muy bonitos (en los papeles), y todos realizan pilas y pilas de documentos con palabras "raras", pero a en la practica, implementar esto es muy costoso (muy), y cada vez mas. Al final la tendencia siemper es dejarlo como esta, hasta que se joda. En este caso fueron 300k Euros. Cuando sean, digamos 10M , ya cambiaran algo jejeje. Fijate lo ridiculo del asunto, que el cajero se conectaba a traves de la linea telefonica al host, ni siquiera una linea dedicada.... Para los que no lo sepan, en muchos protocolos, no se cifra todo la mensajeria. Y por mas inri, el cifrado por limitaciones de HW de la epoca es DES simple, que como todos saben.... bueno, no voy a perder tiempo en explicarlo, no? Antiplebe. Shusa Shusa plebe
Antiplebe. Shusa Shusa plebe
Gracias a todos, ahora tengo algo más de conocimiento sobre el tema y, verdaderamente, pone los pelos de punta... Que se usen algoritmos antiguos y basados en clave privada como DES da mucho que pensar y que, en algunos casos, toda la información (a excepción del pin) pueda ir en texto claro es, si cabe, más peligroso aún... Lamentable. Un saludo y gracias otra vez!
Ojo, de todas formas, como comente anteriormente, la seguridad a venir en un futuro proximo sera mucho mas robusta. Cuando veas aparecer las nuevas tarjetas chip que sustituiran a las de banda, la seguridad que llevan es mucho mayor. Llevan muchos mecanismos que incluyen el uso de de cifrado tanto simetrico como asimetrico a muchos niveles. La desventaja es que habra un periodo (bastante largo ) en el que conviviran la tecnologia de banda magnetica (la actual) y el chip. De hecho, las tarjetas chip incluyen la banda magnetica como mecanismo de "backup" en caso de que existan problemas con el chip. Con esto no quiero decir que la seguridad sera infalible. Dependera de muchas cosas, sobre todo de las implementaciones que se lleven a cabo y, a mi entender, de la dependencia de las tecnologias/infraestructuras antiguas. Saludos Antiplebe. Shusa Shusa plebe
Antiplebe. Shusa Shusa plebe
Es así como esta planteado desde la época del Sistema 3600, algun agiornamiento mas, pero escencialmente es así. Las Pin van por el chip que mencionó el compañero anv, por sistema DES, no necesitas nada raro, ello metieron un grabador y un reproductor mp3 (no necesita ser soft canadiense o algo así), no se necesita cifrar la transaccion ya que lo que se trasmite -tal como lo dice otro compañero de la lista- es lo que esta en la tarjeta; y listo y ok. Pero de mis épocas de bancario, guardo algún recuerdo de otro cajero en Italia, de un gran banco; que lo pusieron en el medio de la plaza; (adentro tenía un dispositivo -era la epoca de los dkt de 5 1/4 que se grababan las pines y el contenido de la banda magnética, cuando la gente ingresaba la PIN, el Cajero respondía fuera de Servicio, y se duplicaron no me acuerdo que cantidad de tarjetas. Entinendo, como me decía un viejo docente -de los verdaderos- que las seguridades a medida que aumenta la tecnolgía, disminuyen; haciendo mas vulnerables a las sociedades. un abrazo
Pues en mi pueblo: El libano, tolima, Colombia, http://wikimapia.org/#y=4930000&x=-75070000&z=13&l=0&m=a una vez se robaron un cajero sin usar nisiquiera un radio transistor, solamente lo desmontaron y se lo llevaron a casa, pero no en un camión, no, queva lo montaron en un vehiculo de tracción animal que llaman zorra. salu2 fredyrivera PD: como haceis npara comentar tan rapido los articulos de kriptolis? dormis al pie del ordenador? oye, buscate una chica.