19 октября, пятница 20:26
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Как "взломали" банкомат

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Как "взломали" банкомат

    http://www.newsru.com/money/25sep2006/bankomat.html
    Особенно понравилась фраза "уязвимый компьютер".

  • #2
    Специалисты по обслуживанию банкоматов выяснили, что для взлома машины достаточно прочесть руководство пользователя, свободно доступное в интернете. В документации объясняется подробно, как перевести банкомат в диагностический режим и перепрограммировать на своё усмотрение. Конечно, вход в такой режим требует знания PIN-кода, однако большинство банкоматов используют пароли, установленные по умолчанию.

    это либо банкомат так устроен либо специ тупят... либо я пока не силен в этом
    пусть мошенник сделал тех карту (это в принципе реально как и обычную карту),но не ужто с помощью нее можно перенастроить банкомат?
    поправте меня если я не прав...

    Комментарий


    • #3
      Диагностический режим без открытия сейфа не работает.

      Комментарий


      • #4
        Согласен, кто-то чего-то не договаривает!

        Комментарий


        • #5
          Читал-плакаль
          .. она неплохо бьет, метко, коли наводить аршина на полтора правее..

          Комментарий


          • #6
            В оригинале статьи было всё написано предельно ясно. Банкомат был Tranax MiniBank 1500. Это такая мелкая штука корейского производства с диспенсером на 800 (максимум)купюр и максимум 2-мя кассетами без стакера, презентера и управляемая микроконтроллером. (Т.е. без РС внутри). Для того чтобы войти в режим настройки и диагностики банкомата нужно было нажать магическую комбинацию кнопок и ввести пароль. Некие лузеры забыли поменять заводской пароль по умолчанию, который злоумышленники и прочитали в документации. К счастью, ничего более страшного чем поменять номиналы купюр на максимально возможный - 20-ки (которыми в основном и заряжаются подобные устройства), в этом меню нельзя.
            <%(

            Комментарий


            • #7
              Извинте что поддакиваю..., полностью согласен.
              ЗЫ Диагностический режим без открытия сейфа не работает.
              Возможно при чем не напрягаясь...

              Комментарий


              • #8
                Возможно при чем не напрягаясь...
                Расскажите (здесь или в приват) как можно заставить без открытия сейфа выдать деньги наружу тот же NCR 5877?

                Комментарий


                • #9
                  Aquirer
                  Сори.., я про Wincor (но не думаю что сложнее), другими не занимался.., могу...
                  Если будет доступ с клавиатуры..

                  Комментарий


                  • #10
                    vvn насколько чего помню про винкор, там просто нужна некая дискета и всё. Сам не страдал этими опытами, но по моему так.
                    У NCR на контроллере диспенсера ОБЯЗАТЕЛЬНО нужно переключить свич, иначе никак. Никакие другие способы кроме физического переключения на эмулятор хоста по моему не помогут.

                    Комментарий


                    • #11
                      Aquirer
                      дискета уже давно не работает....
                      Сам то же не страдал...
                      Протокол нужно знать..., наводка..

                      Комментарий


                      • #12
                        дискета уже давно не работает....
                        У нас они достаточно древние, лет по 5 сименсам. Больше их не закупали, наваландались с ними. Да и сейчас нет-нет, да и накроется в них что-то...

                        Комментарий


                        • #13
                          Aquirer
                          Там дырка была в софте..., во всех новых версиях исправлена...
                          А мне наоборот Wincorы по душе...

                          Комментарий


                          • #14
                            Призываю к сдержанности при обсуждении подобных тем, которые могут заинтересовать скорее криминал, чем специалистов.

                            Комментарий


                            • #15
                              "Уязвимый компьютер"
                              Давно предлагал мошениикам просто брать компьютер из головы банкомата

                              К теме сказать, когда занимался банкоматами, была пару раз такая накладка. Процессинг перепрограмирует деньги, в диагностическом режиме тоже перепрогамируется, а вот есть ещё и реестр..... Ну один раз банк самостоятельно так сделал, про реестр естественно не догадывался. Пришёл клиент, заместо двадцаток долларовых получил сотни. Техник (уже опытный в таких делах) стоял рядом и смотрел на первую выдачу. Схватились за деньги оба, тянули на себя, и победила молодость.... Т.е. техник. Клиент обиделся и пошёл строчить заяву. Думали таких огребём, ничего вроде обошлось. Было это всё в крупнейшем предприятии в центре Москвы.
                              Представительство Cybernet в России

                              Комментарий


                              • #16
                                Из теоретических вариантов:
                                Самый "простой" вариант - написать свои драйверы устройств.
                                Всего пол-года и банкомат выдаст вам все бабло имеющееся в наличии.

                                Из реальных:
                                1. Эмулятор процессинга, либо тестовый процессинг.
                                2. Смена номиналов касет.

                                Комментарий


                                • #17
                                  Процессинг перепрограмирует деньги, в диагностическом режиме тоже перепрогамируется, а вот есть ещё и реестр..... Ну один раз банк самостоятельно так сделал, про реестр естественно не догадывался. Пришёл клиент, заместо двадцаток долларовых получил сотни.
                                  Ахинея какая-то, уж извините. Даже если клиент попросил 20-ки, а получил стольники (несоответствие сумм fast cash допустим), то с его СКС будет списаны всё равно стольники. При несоответствии номиналов логических и физических кассет в Сименсах, в чеке инкассатора просто дыра будет и всё. Без участия хоста банкомат НИКАК нельзя заставить выдать деньги другого номинала (при условии правильной загрузки кассет).
                                  Схватились за деньги оба, тянули на себя, и победила молодость....
                                  Это вообще песня. Может они ещё и в рукопашную пошли? Неужели потом трудно оспорить транзакцию и списать с СКС клиента деньги? Загнать его в овер например.

                                  Комментарий


                                  • #18
                                    Ну щаз опять пойдет приступ паранои по принципу где лучше держать системник- Сверху/снизу. ИМХО в сейфе. Кто не согласен почитайте посты Доктора64.

                                    Комментарий


                                    • #19
                                      Shultc
                                      анекдот такой есть:

                                      "..................Ржевский молчать"
                                      Kind Regards

                                      Комментарий


                                      • #20
                                        Aquirer
                                        Ахинея какая-то, уж извините. Даже если клиент попросил 20-ки, а получил стольники (несоответствие сумм fast cash допустим), то с его СКС будет списаны всё равно стольники. При несоответствии номиналов логических и физических кассет в Сименсах, в чеке инкассатора просто дыра будет и всё. Без участия хоста банкомат НИКАК нельзя заставить выдать деньги другого номинала (при условии правильной загрузки кассет).

                                        Вы похоже не разобрались в том что я написал. Объяснять заново лень. Факт остаётся фактом, такое можно сделать, спросите любого инженера по винкорам. Ответ кроется в подсказке, что с процессинга не приходит валюта, а из какой кассеты, сколько листов слистать. в Протоколе NDC четыре года назад было именно так. Из этого и возможны все эти накладки.

                                        Это вообще песня. Может они ещё и в рукопашную пошли? Неужели потом трудно оспорить транзакцию и списать с СКС клиента деньги? Загнать его в овер например.

                                        Всё можно оспорить и всех загнать. Вы между строк что-ли читаете, я рассказывал техническую ситуацию, а не порядок бамаговолокиты по восстановлению баланса клиента.
                                        Представительство Cybernet в России

                                        Комментарий


                                        • #21
                                          Cybernet
                                          спросите любого инженера по винкорам
                                          Может быть я плохой инжинер по Wincorам плюс еще работаю в процессинге..., но я согласен с Aquirer
                                          По протоколу DDC то же приходит сколько купюр из какой кассеты дать, подскажите как внеся изменения в реестр можно обмануть банкомат и процессинг

                                          Комментарий


                                          • #22
                                            vvn

                                            подскажите как внеся изменения в реестр можно обмануть банкомат и процессинг

                                            Ну хорошо объясняю.

                                            Для этого вернитесь ещё раз к ситуации, которуя я описал. В ней были сделаны изменения на процессинге и в SOPе бенкомата, но! забыли сделать изменения в реестре. Из теории: чтобы правильно выдавалась валюта-номинал, необходимо поставить в соответсвие три параметра. 1. Сделать установки на процессинге. 2. Сделать установки в реестре банкомата. 3. Прописать касеты с валютой через SOP. (Так было, может что-то поменялось, я уже терминалами занимаюсь, поэтому не слежу.)

                                            Приведу пример:

                                            1.Для простоты представим что в банкомате были установлены две кассеты номиналом 1-ая = 100$ и 2-ая = 20$. В данный момент всё работает, клиенты получают деньги.
                                            2. Приезжает "команда-ураган" которая по каким-то причинам хочет поменять номиналы. "Команда" перепрописывает кассеты в SOP так что теперь 1-ая = 20$ и 2-ая = 100$, звонит в процессинг и говорит: "Вась, поменяй номиналы у нас теперь первая-двадцать, а вторая-сто".
                                            И не меняя в реестре - уезжает.
                                            3. Далее приходит клиент, который хочет получить 20$.
                                            4. В процессинг уходит запрос на 20$. Одобрение получено и фронт отдаёт команду. Выдать из первой кассеты, один листик капиталистической бумажки.
                                            5. Банкомат получив команду, недолго думая выдаёт один листик капиталистической бумажки исходя из непоменяных! значений в реестре. А это получается 100$.
                                            6. Счастье клиента не знает границ, когда он видит, что ему из презентера свалилось.

                                            Примерно так. И даже не смотря на то, что кассеты в винкоре можно ставить как попало, представьте что у вас теперь есть 4 кассеты с разными валютами. Там такое можно накрутить

                                            Предлагаю имеющим доступ к банкоматам и процессингу, попробовать эту ситуацию. А то мож я уже что-то и не помню.
                                            Представительство Cybernet в России

                                            Комментарий


                                            • #23
                                              Да..., все хорошо..., но банкомат передаст на хост... что теперь первая кассета 20 а вторая 100.. вот и все и чихал он в каком порядке прописанны они в реестре. Ну если конечно ваши бойцы.., простите извиняюсь "тупо" не перепрописали флешки в кассетах ту где лежали 100 на 20.., а ту что где заложены 20 на 100. Но это уже простите...

                                              Комментарий


                                              • #24
                                                vvn

                                                Ну причём тут "мои бойцы"??? это делали работники банка. Я к банку не имею никакого отношения.
                                                Представительство Cybernet в России

                                                Комментарий


                                                • #25
                                                  И ещё раз повторяю "что кассеты в винкоре можно ставить как попало" т.е. в любую позицию.
                                                  Представительство Cybernet в России

                                                  Комментарий


                                                  • #26
                                                    И ещё раз повторяю "что кассеты в винкоре можно ставить как попало" т.е. в любую позицию.
                                                    И в каком порядке они прописаны в реестре, Wincorу то же все равно.Cybernet Так что вы меня не убедили.
                                                    Единственная (на данном уровне) возможность заставить банкомат давать ни те купюры, это... положить их не в те кассеты

                                                    Комментарий


                                                    • #27
                                                      Вы еще подеритесь горячие финские парни!
                                                      Можно прописать кассеты непосредственно на позиции.
                                                      Да и если заложите другие купюры, они не пройдут по тестам, будут отбраковываться! По моему так!

                                                      Комментарий


                                                      • #28
                                                        BE@ST
                                                        Да и если заложите другие купюры, они не пройдут по тестам, будут отбраковываться! По моему так!
                                                        Не совсем... так, точнее совсем не так
                                                        Если они одинаковые по размеру, даже и не заметит...
                                                        А мы про баксы помойму говорим...

                                                        Комментарий


                                                        • #29
                                                          Cybernet
                                                          во первых на каком софте?
                                                          а во вторых не смешите мои тапочки
                                                          разделение должно быть в софте, "кассир" не имеет права переписывать номиналы, валюту. Его дело приехать и поменять кассеты.
                                                          Если все организовано через пятую точку, то имейте проблемы с клиентами и дальше.
                                                          Kind Regards

                                                          Комментарий


                                                          • #30
                                                            Да интересный переход от случая непонятно с каким банкоматом, до как в итоге реально повторить его на своем ;-) Ну а вот никто даже не задумался о том, а на долго ли он подержит в руках эти деньги? Достаточно найти ошибку, пусть даже и после и посмотреть, кто брал денежки за этот период, думаю по данным каточки всегда можно найти человека. У нас как-то был случай, кассиры перепутали купюры в кассетах, 2 человека получили в итоге больше чем надо, а третьему не повезло, он наоборот получил меньше и поднял тревогу. Посмотрели, чьи карточки, служба безопасности приехала в гости, и деньги сразу были возвращены, без лишних разговоров, даже за ноги трясти не пришлось.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X