» »

Vdor v Merkurjev POS sistem?

Vdor v Merkurjev POS sistem?

RTV Slovenija - MMC RTV Slovenija poroča, da naj bi za zdaj še neznani storilci med 13. in 19. februarjem letos vdrli v POS sistem Merkurjeve trgovine na Primskovem v Kranju in pridobili podatke o več kreditnih oziroma plačilnih karticah strank, ki so s plastičnim denarjem plačevale v omenjeni trgovini.

Zlikovci naj bi s tako pridobljenimi podatki dvigovali gotovino na Nizozemskem. Podatkov o tem, koliko kupcev je bilo oškodovanih, trenutno še ni na voljo, znano pa naj bi bilo, da so bile zlorabljene kartice več izdajateljev, ti pa so o tem že obvestili prizadete stranke.

V anketi na najdi.si je kar 31% respondentov odgovorilo, da še nikdar niso kupovali prek interneta, saj se jim to ne zdi varno. Bodo taisti ljudje sedaj začeli panično zažigati kreditne kartice?

70 komentarjev

«
1
2

Dark Angel ::

Zlo hud "heker" rabiš bit, da zamenjaš čitalec s svojim in logiraš transakcije. To je bolj trojanski konj.

Če so pa prisluškovali povezavi potem pa sploh niso "hekerji".

Pa zakaj se izraz heker vse bolj zlorablja, pisci novic pa so čedalje copy-paste, brez da bi uporabili 1g svoje pameti zraven???:\

aljazh ::

Temni Angel, ali lahko pokažeš, kje v novici je uporabljena beseda "heker"? Hvala.

HyperKiller ::

Kaže, da o stvari največ ve 24ur.com.

@Dark Angel: "Heker" ima v občem jeziku pač širši pomen.
Tako kot "pokvarjen pralni stroj" serviserju ne pomeni nič. Mislim da od ljudstva ne moremo pričakovati kaj več.

HyperKiller ::

@aljazh:
Hekerji prek Merkurjeve trgovine do vaših kartic

(naslov RTV-jeve novice)
Pri Microsoftu uspešno izrezujejo varnostne luknje.

#000000 ::

Ma kaki hekerji, po vsej verjetnosti je en od zaposlenih ali nekdo ki ima stik s karticami ali potegnil kartico še skozi en čitalec ali pa nekako prebral z obstoječega pos terminala. Pol je lepo kopiral/kloniral pridobljene zapise in naredu nove kartice, vse skup ali prodal ali dal kolegu ali celo sam odpotoval v niderland in začel veselo dvigovat keš.

Zanimivo bo če ga je kje snela kaka kamera :)

driver_x ::

A je sploh znano, na kakšen način so zlorabili POS?

cryptozaver ::

>V anketi na najdi.si je kar 31% respondentov odgovorilo, da še nikdar niso kupovali prek interneta, saj se jim to ne zdi varno. Bodo taisti ljudje sedaj začeli panično zažigati kreditne kartice?

buuuu kaj ce bi raje zazgali internet :O

cryptozaver ::

V BTC ju nasproti restavracije SPAR je en lokal kjer kelnerji uporabljajo prenosni (brezzicni) POS terminalcek. Hudo fensi, ampak z varnostnega stalisca pa malo manj... Ne vem sicer katero brezzicno tehnologijo uporabljajo in kolk je zascitena (ali kolk sploh uporabljajo zascito) ampak jest bi tam raje placal s kesem.

krneki0001 ::

Al Capone je tisti lokal in da se signal iz prenosnega POS-a "prebrati" z navadnim dlančnikom, ki ima vgrajen wifi.

Zgodovina sprememb…

SSH ::

cryptozaver: Ta stvar je ponavadi brezžična samo do te mere, da ko uporabnik vpiše podatke se ti hranijo v 'pos', ko pa kelnar odloži 'pos' v docking postajo pa se izvrši transakcija. Št. PIN je hranjena na sami kartici tak, da za preverjanje pin ne rabi povezave.
Če pa imajo v BTC res toliko fanci šmanci zadevo da podatke o kartici prenaša po zraku, pa definitivno priporočam plačevanje s kešom :D.

lp, FReAK.
MSI NEO4 SLI PLATINUM, A64 3000+@2500mhz, 2048mb geil 2.5-3-3-5 245mhz,
MSI NX7800GT 256DDR3, 300GB maxtor 16MB cache, LC6420 (420W)

Looooooka ::

ja u wish.
pr nas ni nikjer nobene varnosti.
polovica vecjih stacun ma svoje racunovodstvo kr lepo nekje centralizirano pa pol vse delajo prek webservisov...no ja tud to je understatement...bl so strani.
gorenje aparati recimo...tm bi se pomojem dal kr lepo vmes nekje postavit pa si narocit na en drug naslov kksn tv.cudn da se ni noben probu.

Brane2 ::

Če je to res, bo nekdo tam najebal zaradi določba zakona o hranjenju osebnih podatkov, tako vMerkurju kot v lokalu.
In ker je Al Capone pokojni, bi kazen znala fasati odgovorna oseba...
On the journey of life, I chose the psycho path.

Poldi112 ::

SSH, ko sem jaz enkrat plačal na takem brezžičnem pos-u ga kelnar ni nič nesel v docking station. Lepo mi je iz tistega pos-a dal izpisek in to je bilo vse. Transakcija gre po zraku.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Brane2 ::

Aja, kar se odpornosti POSa proti odpiranju tiče, v to ne verjamem preveč.

Lahko so kje drugje pajsnili kako tako enoto in jo naštudirali, tako da so tu pač obšli ta switch in se pač ni sprožil.

Rabili so sodelovanje nekoga v štacuni, ki je enoto odnesel domov ali kaj podobnega. Ali pa se jo je lotila čez noč ekipa v kakem skladišču in jo zjutraj pustila na blagajni.

vse, kar so rabili, je to,d a so pobrali signal z glave čitalca kartice ( ki je v bistvu glava od navadnega kasetarja) in ga pičili na majhen FM oddajnik, kot jih sestavlja mularija doma. Nato so lahko nekje v bližini snemali piskanje oddajnika na navaden FM radio, nekdo v ekipi se je pa gnetel v vrsti med ostalimi in poskušal prebrati kako pin kodo med vtipkavanjem.

Ta prijem sem že videl v Leclercu. Neka nadležna baba se vrti med folkom in se rine v vrsto. Spomnim se, da jo je živo zanimal pogled v mojo denarnico ( mogoče si lahko pomaga s številko na kartici in ima kako vezo v banki ?) in to, kar počnem med tipkanjem pina.

Čudi me, da so jo mirno gledali tako čuvaji kot blagajničarke. Pa mislim, da ima pomagače, vsaj tipa pred katerega se kao "vrine"...

Ta team sem videl že večkrat v Leclercu...
On the journey of life, I chose the psycho path.

krneki0001 ::

Brane dostikrat sem videl ta primer.
Najbolj razširjen pa je tale. Če veliko nakupuješ in imaš veliko robe, kaj hitro pozabiš gledat okoli sebe. Na blagajni se tako nekdo pritisne ob tebe, pogleda tvojo pin kodo, potem pa ti proba še ukrast denarnico. Če mu uspe, potem odnese denarnico do kopirne enote - tipkovnica ali karkoli podobnega), ki ima možnost branja kartice, si tvoje podatke prekopira na novo kartico in odnese denarnico nazaj v trgovino, češ da jo je našel.
Če ti kraje ne opaziš pravočasno, ti lahko vsakodnevno ali tedensko potem zgine kakih 10 evrov iz kartice, pa tega sploh ne opaziš.

Person ::

@Poldi112
Enako pri meni ... lepo transakcija po luftu:\

Upam, da je vsaj malo povezava zaščiena ...
Let's make something useful!

Tear_DR0P ::

brane a za tempest je treba modificirat POS terminal? ker jaz mislim da je dovolj da maš radio pri sebi in posnameš tisto kar ujame
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

Prjatu ::

@SSH
PIN seveda niti pod razno ni shranjen na sami kartici

Kar se pa povezave tiče, večinoma so zadeve 3DES kriptirane. Ravno tako je kriptirana tudi povezava med PINpadom in samim POSom
Something else is controlling me!

Brane2 ::

Kkšen tempest ? Misliš tamper ? Ja, mislim da bi bilo treba odpret POS. Razen če je tisti POS mišljen kot "Piece Of Shit" in se da dobit signal s kartice v obliki RF motenj, kot smo to včasih počeli na hišnih mlinčkih, ki niso imeli zvoka...
On the journey of life, I chose the psycho path.

poweroff ::

Merkur je pred časom ob vsakem nakupu s kreditno/bančno kartico le-to potegnil čez POS terminal, potem pa še preko svojega čitalca. Na tak način so nezakonito zbirali podatke o nakupih. Potem so dobili obisk inšpektorja in jim je to prepovedal.

Če se komu ljubi, naj pobrska po poročilih inšpektorja za varstvo osebnih podatkov.

Za tempest pa ne rabiš fizičnega stika, le EM signale lepo prebereš. Samo dvomim, da so pri nas "zlikovci" sposobni izvesti tempest napad.
sudo poweroff

MrStein ::

Brane2:
Ta team sem videl že večkrat v Leclercu...

Si jih prijavil policiji ? Komu drugemu?

Kkšen tempest ?

Poznam enga tipa, ki je ful pameten. Ve v bistvu vse. Imenuje se Gugl ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Brane2 ::

Če je tista enota res "Piece Of Shit", potem verjetno ni problema. Ta napad je verjetno večji problem pri modernih procesorjih, a vet POS je navaden Intel 8031.

Res zadeva iz kamene dobe in s plenty of RF ter jasnimi, čitljivimi signali.

Ohišje je pa seveda tudi "svojega denarja vredno" čista POS plastika.
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

Brane2 ::

Mrstein:

ne rabim unga tipa za nekaj, kar smo počeli kot mulci. Je kak byte tudi pod mojo čelado... :D

Samo takrat stvar ni imela učenega imena...
On the journey of life, I chose the psycho path.

Brane2 ::

No, sicer pa nekaj starih POS terminalov imam, pa bi se dalo poigrati s tem.

Škoda edino, ker ta stvar zahteva pametno kartico in brez nje verjetno ne dela...
On the journey of life, I chose the psycho path.

Ahiles ::

Potrebna je le 1 sek http://www.youtube.com/watch?v=sexUus0igWs

Brane2 ::

Tole da je "high tech" rešitev ? Eh, to ti naredim jaz.

Saj ima samo megnetic reader. ne bi reku, če bi si jo swipnila med joški, tako pa... :\
On the journey of life, I chose the psycho path.

TRIROG ::

človk rata kr mal paranoičen ....

definitivno bom začel prikrivat pin na kartici, pa tut kartice ne bom iz rok daju več...

a lahko zahtevaš da sam potegneš kartice čez čitalec?

javascript:smesko(':D ');
javascript:smesko(':D ');

Brane2 ::

Ni ti treba bit paranoičen, le pritisni na svojo banko, da hočeš kartico, ki bo vredna več kot pol piz*e mrzle vode.

In če ti začnejo s tistim, da itak vračajo denar, povej, da hočeš to pisno od njih in brez "ko", "če" in podobnih pogojev v izjavi.

Če bo to tisto, da oni poskrbijo za vse, ti samo povej koliko so ti pajsnili, potem fino, sicer ne.
On the journey of life, I chose the psycho path.

aljazh ::

a lahko zahtevaš da sam potegneš kartice čez čitalec?


Sicer ti to nič ne pomaga, če je POS terminal kompromitiran, a kot zanimivost lahko povem, da sem v Italiji že nekajkrat doživel, da mora stranka sama potegniti kartico. Sprva izpadeš kot bukselj, ko položiš kartico na pult, nato pa ti in trgovec čakata drug drugega :D V eni izmed trgovin (beznica s špecerijo, pri nas bi jo sanitarna že zdavnaj zaprla) je prodajalec dejal, da ima navodila, da sploh ne sme prijeti kartice.

Matevžk ::

Sicer je po toči zvoniti prepozno, ampak da ti ne morejo "neopazno" na daljši rok krasti denarja (z izplačili okrog 10€, ki jih kao ne opaziš), je koristno uporabljati spletno bančništvo (pri banki, ki da nekaj na varnost ...) in dnevno preverjati transakcije ...
lp, Matevžk

poweroff ::

Brane, pri tempest napadu gre za prestrezanje elektromagnetnih signalov, ki "uhajajo" iz naprave. Se pravi ne rabiš fizičnega stika z napravo, pač pa lahko s pomočjo antene prebereš podatke iz določene razdalje (lahko tudi par deset ali sto metrov).

Osnovni koncept je prikazan tukaj (s tem softwerom sem se tudi sam igral pred leti):



Praktičen primer uporabe pa tule:



Imam pa že nekaj časa namen malo bolj se ukvarjati s to tematiko. Žal mi manjka precej znanja, pa tudi opreme. Lahko pa bi se enkrat dobili na kakšni pijači in kaj naumili...
sudo poweroff

Brane2 ::

Saj to vem. Kot sem že reku, smo se s tem igrali tam leta 85.

Samo da takrat to ni imelo pederskega imena.
On the journey of life, I chose the psycho path.

Brane2 ::

Kar se opreme tiče, lahko treniraš z ZX Spectrumom in elcheapo radiom.

Ali pa s C64, če ti je blj pri srcu. Aja, pa še kak asembler rabiš. Za spekija je bil to Devpack, za C64 ne vem.
On the journey of life, I chose the psycho path.

Brane2 ::

Aja, lahko ti posodim spektruma, tudi kak POS terminal ( star model :D )
On the journey of life, I chose the psycho path.

HerrFlick ::

Prenosni POS terminali delujejo po sistemu GPRS preko mobilnega operaterja. Torej enako, kot mobilni telefoni.

Tear_DR0P ::

ona kelnarca ma res debilno metodo - če moraš vsaki stranki kartico potleh vrečt, da jo lahko skeniraš, te slej ko prej vidijo - dosti lažje je nosit s seboj fake reader, ki podatke shrani, zvečer jih pa skloniraš in odpošlješ k sebi za kasnejšo uporabo, pa tui k prvotnemu cilju, da te ne posumijo takoj.
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

krneki0001 ::

mam jst tut c64 assemler, če ga kdo potrebuje.

dronyx ::

Odpreš nek lokal za petičneže, se opremiš z prirejenim čitalcem, ki pobere informacijie o karticah in pin kode. Čez eno leto objaviš stečaj, lokal zapreš, greš v tujino in pobereš moronom ves deanr s kartic.

Kar se mene tiče grem danes popoldan na banko, dvignem vso gotovino in zahtevam da mi ukinejo limit oziroma da imam limit natančno 0 evrov.

Ko tole berem je očitno, da ta sistem nikakor ni varen. ;(

Brane2 ::

NO, zdaj veš, zakaj hočejo banke itd 5% provizije pri plačilu s kartico in kaj vse pokriva ta provizija.

BTW: Sem samo jaz udarjen ali se to še komu drugemu zdi rop ? 5% za "varen" prenos podatkov o denarni transakciji ? 8-O
On the journey of life, I chose the psycho path.

Prjatu ::

Če si uspel izposlovati tako provizijo, pač menjaj banko, je pa res, da je zadaj sigurno kartelni dogovor pod kakšen % ne gredo za vsakega običajnega trgovca
Something else is controlling me!

krneki0001 ::

Delam na banki, limita nimam in ne plačujem s kartico, ampak ko dobim plačo grem na banko dvignem ves denar, ga nekaj položim na varčevalni račun, za katerega ni kartice, ampak lahko samo jaz osebno dvigam ali polagam denar, ostalo pa domov odnesem in s tistim moram preživeti mesec.
Kartico imam gotovinsko - nanjo ne moreš odpreti trajnikov in ne moreš dobiti limita. Dovoljen je samo dvig na bankomatu in plačevanje na posih, ki so direktno povezani - zaradi tega ker nima limita. Ne dela v tujini. Drugih kartic nimam, ker jih nočem imeti, v elektronsko bančništvo ne verjamem.

Brane2 ::

Prjatu:


Ne glede na banko in trgovca ne gre za majhne vsote. Ja, procent lahko spustiš MOGOČE do določene vsote.

Kaj pa moreš banki koneckoncev, tudi če si Leclerc ? Če se ne zdilaš z NLB, boš lastnikom te kartice preprečil nakup ? :D
On the journey of life, I chose the psycho path.

Zgodovina sprememb…

  • spremenil: Brane2 ()

Prjatu ::

Še vedno si v položaju, da si izposluješ nižjo provizijo. So pa provizije različne za posamezne produkte, odvisne pa predvsem od procesnega centra, ne toliko od banke, še posebej en procesni center je priviligiran in drag :)
Something else is controlling me!

dronyx ::

Pri nas je to bančništvo vse skupaj navadna natega. Kartelni dogovori kamor pogledaš in vsi dobro živijo na ta račun. Zakaj bi se ubijali z konkurenco, če se lahko med sabo dogovorijo?

Brane2 ::

Prjatu:

Ja, seveda. Ravno tako kot ti lahko grozim z udercem s čelom v tvoje koleno... :D
On the journey of life, I chose the psycho path.

RejZoR ::

Kere buče da glava boli in proti katerem ne pomaga niti 5kg aspirin.
Kako lahko "vdreš" v POS terminal? To je totalni BS brez primere. POS terminal je samo card reader in enota preko katere avtoriziraš transakcijo z vnosom PIN kode. Vse se vrši v realtime med banko in samim POS terminalom. POS nima HDDja, nima spominske enote, nič, nada, niente. Kaj ti pol to pomaga oz še bolje, kako zaboga lahko potem vdreš vanj? Tud ne vem kaj ti bo samo podatek o kartici če slednje fizično nimaš. Da pa bi bli naši zlikavci tko pretkani da bi na podlagi tega znal delat klone kartic pa krepko močno dvomim. Kar pa je še huje da po dreku vlačijo Merkur, ki je pri tem kriv tolk kot eskimi za pokol židov med WW2. Če so že kamorkoli vdrli oz ukradli podatke to niso bili POS terminali. Če so že karkoli dlali vmes so lahko samo prestregli transakcije. Če pa slednje niso kodirane na dost pameten način so pa črive banke, ne trgovina ki samo uporablja njihove storitve in za katere mora plačevat stroške pri vsaki transakciji.
Angry Sheep Blog @ www.rejzor.com

Brane2 ::

Zakaj hudiča ne bi mogel naredit prepričljivega ponaredka kartice ?

Še nikoli nisi presnel igrice za C64 ali ZX Spectrum ? :\

Gre za simpl, _STANDARDIZIRAN_ magnetni zapis, nič več, blanko magnetne kartice pa se tudi dobijo na lopato, če je treba.
Ravno tako enote za čitanje in vpis.

Kje je torej problem ?
On the journey of life, I chose the psycho path.

krneki0001 ::

Rejzor
Tipkovnica z card readerjem in snemalnikom magnetnih zapisov stane 100 eurov v conradu, praznih kartic dobiš 500 za 100 eurov. Samo presnet moraš še kartice strank. To pa lahko narediš z malo boljšim sprejemnikom signalov, ki ga postaviš pod blagajno. In če delaš v merkurju ali kakšni večji trgovini ni nič lažjega kot to narest in zato vlečejo merkur po zobeh, ker je merkur kriv, da ima delavca, ki je to počel ali pa pomagal pri tem.

To je enako kot je bil tist trojanc od mulca, ki je izsiljeval NLB. Kao ponaredi transakcijo na uporabnikovem računalniku - tukaj ni banka nič kriva - kriv je uporabnik sam, ker je dovolil, da pride do zlorabe na njegovem osebnem računalniku. In ravno tako je v merkurju - kriv je merkur, ker je dovolil da na pos terminalih v njegovih trgovinah izvajajo kriminalna dejanja zaposleni v merkurju.


Banke so pa zablokirale preko 320.000 kartic od ljudi, ki so v tistem času kupovali v merkurju.

Tear_DR0P ::

upam da bo safe.si dal kmalu kakšno novo reklamo ven, v kateri ne bodo straši ščitili otroke ampak tudi sebe :)
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain
«
1
2

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

spletna trgovina - placevanje s karticami

Oddelek: Izdelava spletišč		142450 (1823) kitewing
»

Vdor v Merkurjev POS sistem? (strani: 1 2 )

Oddelek: Novice / Varnost		7011083 (6471) sniffo
»

Hosting v tujini + prenos domene

Oddelek: Izdelava spletišč		132977 (2425) gforce
»

Vprašanje spletna trgovina

Oddelek: Izdelava spletišč		211873 (1297) gregy
»

Varnost nekaterih spletnih trgovin

Oddelek: Omrežja in internet		442987 (1907) BigWhale

Več podobnih tem