Компания Sec-Tec, специализирующаяся на информационной безопасности, выяснила, что недорогие тепловизоры для смартфонов способны помочь мошенникам украсть пин-код банковской карты с пин-пада банкоматов. Модули-тепловизоры можно купить за несколько сотен долларов: например, FLIR One для iPhone обойдётся в России в 23-25 тысяч рублей.

image

Компания протестировала на безопасность несколько банкоматов, замков и сейфов. Кнопки хранят тепло человеческой руки более минуты после использования клавиш.

Тепловизор легко определяет, какие клавиши были нажаты, но основная проблема для взломщиков — порядок их набора. Sec-Tec выяснили, что не все терминалы имеют механизм для предотвращения многократного набора пин-кода, так что у мошенников может быть достаточно времени, чтобы опробовать все комбинации из четырёх цифр.

Специалисты Sec-Tec сумели обойти двухфакторную идентификацию дверных замков, скомбинировав атаку с помощью тепловизору и оборудование для клонирования RFID.

Чтобы уберечь себя от мошенников, специалисты предлагают после использования пин-пада накрывать его ладонью, чтобы передать тепло всем клавишам.

Комментарии (16)


  1. a_freeman
    21.08.2015 15:08

    Вообще с камерой я-бы и без тепловизора справился )


  1. Kidar
    21.08.2015 15:15
    +5

    Помимо PIN-кода, как правило, в большинстве случаев набирается также сумма, поэтому, число кнопок будет больше, чем 4.
    Что касается домофона, то необходимые кнопки на большинстве из них легко определяются по грязи или потертостям без применения тепловизора.


    1. grokinn
      21.08.2015 15:46
      +1

      Многие выбирают из стандартных сумм на экране банкомата. Надо в рекомендации по безопасности добавить набирать сумму на клавиатуре)


  1. iliabvf
    21.08.2015 15:33
    +2

    Еще год назад об этом говорили: http://www.youtube.com/watch?v=8Vc-69M-UWk


  1. Aingis
    21.08.2015 16:22
    +3

    Как бы баян: http://habrahabr.ru/company/banki/blog/126541/ (2011 год).


  1. xapienz
    21.08.2015 20:54

    В Корее у банкоматов пин-код вводится на тач-экране, и при каждом подтверждении пин-кода порядок цифр разный.


    1. Cobolorum
      21.08.2015 21:41

      Тач экран прошел PCI PED?


      1. xapienz
        22.08.2015 20:39

        Не знаю. Возможно, экран используется только для местных карточек, которым не нужно проходить требования Visa/Master Card, а для международных используется только хардварная клавиатура. Надо проверить


  1. tendium
    21.08.2015 21:51
    +1

    Sec-Tec выяснили, что не все терминалы имеют механизм для предотвращения многократного набора пин-кода, так что у мошенников может быть достаточно времени, чтобы опробовать все комбинации из четырёх цифр.


    По-моему, вот это ерунда. Может кто-то работает в банковской сфере — можете подтвердить или опровергнуть?


    1. chesterset
      23.08.2015 21:12

      Количество допустимых «неверных» вводов устанавливает банк. Чаще всего 3, иногда фигурирует другая цифра. Заберёт ли карту банкомат или нет — вопрос настроек банкомата. Даже если после ввода 3х неправильных пин-кодов банкомат вернёт карту, ею уже всё равно нельзя воспользоваться, её надо разблокировать через банк-эмитент.


      1. tendium
        24.08.2015 09:48

        Спасибо. Т.е. вы по сути подтвердили мое предположение, что процитированное не является правдой.


  1. amarao
    22.08.2015 15:47

    На Кипре термпература 42. Клавиши тепловизором определять будут по характерному похолоданию в местах прикосновения человека?


  1. vasfed
    22.08.2015 17:20

    На pos-терминалах пластик остывает быстрее, но нет лишних нажатий и можно даже порядок набора увидеть, уже были материалы на эту тему


  1. teifo
    23.08.2015 01:28

    Так и хочется написать «храните деньги в сберегательной кассе», не храните деньги на «пластиковой» карте.

    Я сам лично пока сделал отдельную карту для расчетов в магазинах и интернете с небольшой суммой на ней. На нее деньги перевожу с онлайн банка. Возможно стоит подумать о том, что расчетную карту вообще в отдельном банке завести, чтобы даже основной банк не светить нигде. Хотя и вхожу я в него только с дома. Правда может быть я уже ступил на неверную дорожку паранойи:)


  1. mat300
    23.08.2015 02:45
    +1

    ОК. Ну увидели вы пин в тепловизор. Дальше то что? А карту у того чувака на гоп-стоп отберете?

    Скажете скимер считает. А нафига тогда довольно громоздкий тепловизор, когда при такой схеме используют микровидеокамеру?

    Какой-то совершенно нереалистичный метод тут рассматривается. Никто так данные карты тырить не будет, разве что кто-то сам оставит карту на банкомате — прямо лично для вас.


  1. Mithgol
    25.08.2015 15:08

    Чтобы уберечь себя от мошенников, специалисты предлагают после использования пин-пада накрывать его ладонью, чтобы передать тепло всем клавишам.
    Спасибо, всегда так делаю, ещё и потираю его слегка.