Přijďte se podívat na ukázku hackování bankomatu

Pokial viem tak ochrana pomonou PIN-u, pripadne podpisu je v pripade kradeze vacsiny kariet ktore su dnes v obehu len formalita. Ked som sa po prvy krat snazil zaplatit nieco pomocou karty cez internet, bol som sokovany ze nebola pouzita ziadna ochrana. Vobec ziadna. Vsetky potrebne udaje boli napisane na karte a stacilo ich opisat do online formulara.

Ale v pripade MO/TO transakci potvrzujes platbu (nikoliv ovsem autorizujes) prave CVV/CVV2 kodem, ktery je na zadni strane karty.

Ty penize ziska pomoci bankomatu nebo jste si to vymysleli, aby byl hezkej titulek?

Nějak mi uniká, kde je v původní pozvámce zmíněn bankomat. Vše se má týkat především online služeb, teda ne že by dnešní bankomaty byly offlinové, takže bych spíše řekl, že je to spíš net platby.

Vzdyt je to hned v titulku a navic to i v komentari pisu.

na slovensku sa to robi takto (dobre natocene video)

http://bystrica.sme.sk/c/5310303/zlodeji-ovili-okolo-bankomatu-lano-a-vytrhli-ho.html

To je normální i v ČR. Ještě se zhorší platové podmínky a půjdu to asi udělat taky. Hlavně ať to vyjde a je plnej. :-D

Ale dotahni ho nekde hluboko do podzemi. Ono to ma totiz radiovej vysilac :)

Při násilném otevření to bankovky obarví. Takže to chce i vědět něco o tom, jak to donutit, aby se to otevřelo samo.

A video z akce bude?

Bude na téhle akci k prodeji i příslušenství/ná­řadíčko na hackování bankomatů s podrobným návodem k použití? :=)

Video z akcie urcite bude… minimalne policajne :D

to neni nic prevratneho pod sluncem. Protokol platebnich karet je navrzen tak, aby pin nebyl vubec potreba k provedeni platby. karta sice predpoklada pin, ale kdyz budete pokracovat v dalsich prikazech pro platbu, tak bude pokracovat i kdyz pin nezadate…
http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf

kdyz 3× zadam spatne pin, tak mi ten bankomat tu kartu uz nevrati a ani se me nebude ptat, jestli nejake dalsi prikazy bude provadet nebo ne. Ukazka hackovani normalniho standardniho ve zdi zazdeneho bankomatu kdekoliv u samoobsluhy zepredu proste nejde (bez upravy predni casti bankomatu), ale bulvarizator na iinfo funguje dokonale :D

Ono to má několik háčků:
1) pokud je PIN přidělen bankou – je generován z čísla karty, při znalosti protokolu lze tak zjistit
2) nevím jak u bankomatů, ale u platebních terminálů je již hack možný – s pomocí externího zařízení, které se ke kartě připojí na principu „man i the middle“, kdy se terminál zeptá karty na správnost pinu, jenže „mid“ dotaz změní na „autorizováno“ a přesvědčí kartu, že transakce byla autorizována podpisem a karta zpátky vyšle signál na provedení transakce. Třeba už někdo přišel na to, jak to udělat i v případě bankomatu.

v pripade bankomatu je to presne rovnake.
tento utok samozrejme funguje len na offline-pin karty (pin je overovany na karte) a len v pripade, ze terminal/bankomat neforcne online-pin.

treba u mBank se ten pin da nastavit na webu s okamzitou platnosti, takze jakykoliv bankomat se musi dotazat do databaze mBank.

Ked je to offline autorizacia, tak nemusi. V tedy sa PIN neoveruje voci autorizcnemu centru ale len voci karte.

hmm, na jednu to stranu pravděpodobné, na druhou už vůbec: VY máte bezdrátovou platební kartu s permanentním připojením k internetu? Pokud ne tak mi vysvětlete, jak se podle VÁS provede změna PIN tak aby jej karta znala správně a hlavně IHNED po změně z internetu – za vámi zjevně užitého předpokladu, že se PIN bude ověřovat z vůle bankomatu pouze vůči kartě. Nebo snad chcete říct, že v tu chvíli platí dva různé PIN podle toho jestli jste zrovna u offline nebo online automatu?

B.F.U. má pravdu, to co píšete nedává smysl. Co jsem slyšel, tak mBank jako jedna z mála (jediná u nás?) nemá PIN na kartě, což má kromě velké bezpečnostní výhody i tu, že si můžu PIN zdarma libovolně měnit přes net. Opravdu nechápu, jak by se ten PIN na tu kartu po změně dostal, aby fungoval při offline ověření.. Jediná nevýhoda je, že s tou kartou prý nejde platit v „prdelákovech“, tzn. asi tam, kde jsou offline only bankomaty/ter­minály. Údajně to bývá v Anglii, v ČR jsem o problémech neslyšel. Co je ale pro mě alarmující, prý je tohle chování karet (že na sobě nemají uložen PIN) proti VISA standardu a do budoucna snad bude muset být :( Takže i ta trocha bezpečnosti co u mBank proti jiným byla půjde do kytek a kvůli změně PIN budu muset jít na pobočku nebo co.. jak ve středověku :(

Vy chcete aby na vas banka nevydelavala po kazde co ji kontaktujete? To jste tedy optimisti. Je to prece banka a te nejde o nic jenom o penize. Vsechno ostatni (sluzby, bezpecnost) je reklamni omacka. Davate do bakny svoje penize aby s nima mohla obchodovat a jeste ji za to musite platit?
Nastesti to neplati o mBank ktera uspesne krade zakazniky vsem ostatnim bankam. Logicky se do ni za nedlouho pusti celej Ceskej bankovni trh a bude jim vycitat kazdej detail jako ze jejich karty jsou vic bezpecne protoze neplni ten 20 let starej standard. U soudu by v tomto pripade mBank prohrala. Proc? Protoze pan soudce na to kouka jak kure do piva a vubec nechape, co vsechno sebou prinasi 20 let starej standard.

Len tak na okraj, na Slovensku si mBanka pyta za zmenu PINu 1€.
Ine banky o ktorych viem, ze umoznuju zmeny PINu, vykonaju synchronizaciu pri prvom pouziti ich bankomatu (alebo sa zmena robi priamo na bankomate),
takze skutocne nejaky cas mozu platit oba piny. Teda nie ze by dnes bolo nejako vela offlinovych terminalov. mBank vlastne bankomaty nema, tak netusim ako by to riesili.

Ohledně PINu na kartě u mBank se hovoří třeba zde:
http://www.mbank.cz/forum/read.html?f=1&i=151702&t=151702&sr=ld&pn=1
Vypadá to, že PIN na kartu pravděpodobně zapíše jakýkoliv terminál / bankomat, který zjistí, že došlo ke změně v databázi banky

Pokud je možné změnit PIN přímo na kartě na základě dotazu do databáze banky, pak je jen otázka času, kdy bude „man in the middle“ fiktivně ověřovat a následně měnit PIN. Tady bych ten potenciál viděl já. Chápu, že to bude chráněno nějakým HASHem, ale to je, myslím, jen otázka výpočetního výkonu a dostatku vstupních dat.

To preci ani nemusi byt tak slozite. Staci si vzit se sve libovolne karty PIN a z karty precist PVV. A tento PVV zapsat na kartu. A mas jak vstupni, tak i vystupni udaje.

Máte nesprávné informace o bankomatech a PINu, nebo to možná u každého funguje jinak.

Mám kartu České spořitelny a používám výhradně její bankomaty. Pokud zadám špatný PIN (a to je často), normálně se dostanu do dalšího menu. Zde si navolím třebas zobrazení zůstatku nebo výběr peněz – jenže to se neprovede, kartu mi bankomat vrátí a vytiskne papírek „chybný PIN“.

PIN na čipové kartě vůbec není uložen. Když bankomat odesílá transakci do banky, tak k ní přibalí zadaný PIN a čeká, co na to banka řekne. Díky tomu si v některých bankách můžete měnit PIN i bez toho, aby vám někdo/něco na tu kartu cokoliv nahrával.

PIN se urcite nikde neposila ani neprihrava, kdyz uz, tak PVV.