Компания протестировала на безопасность несколько банкоматов, замков и сейфов. Кнопки хранят тепло человеческой руки более минуты после использования клавиш.
Тепловизор легко определяет, какие клавиши были нажаты, но основная проблема для взломщиков — порядок их набора. Sec-Tec выяснили, что не все терминалы имеют механизм для предотвращения многократного набора пин-кода, так что у мошенников может быть достаточно времени, чтобы опробовать все комбинации из четырёх цифр.
Специалисты Sec-Tec сумели обойти двухфакторную идентификацию дверных замков, скомбинировав атаку с помощью тепловизору и оборудование для клонирования RFID.
Чтобы уберечь себя от мошенников, специалисты предлагают после использования пин-пада накрывать его ладонью, чтобы передать тепло всем клавишам.
Комментарии (16)
Kidar
21.08.2015 15:15+5Помимо PIN-кода, как правило, в большинстве случаев набирается также сумма, поэтому, число кнопок будет больше, чем 4.
Что касается домофона, то необходимые кнопки на большинстве из них легко определяются по грязи или потертостям без применения тепловизора.
grokinn
21.08.2015 15:46+1Многие выбирают из стандартных сумм на экране банкомата. Надо в рекомендации по безопасности добавить набирать сумму на клавиатуре)
xapienz
21.08.2015 20:54В Корее у банкоматов пин-код вводится на тач-экране, и при каждом подтверждении пин-кода порядок цифр разный.
tendium
21.08.2015 21:51+1Sec-Tec выяснили, что не все терминалы имеют механизм для предотвращения многократного набора пин-кода, так что у мошенников может быть достаточно времени, чтобы опробовать все комбинации из четырёх цифр.
По-моему, вот это ерунда. Может кто-то работает в банковской сфере — можете подтвердить или опровергнуть?
chesterset
23.08.2015 21:12Количество допустимых «неверных» вводов устанавливает банк. Чаще всего 3, иногда фигурирует другая цифра. Заберёт ли карту банкомат или нет — вопрос настроек банкомата. Даже если после ввода 3х неправильных пин-кодов банкомат вернёт карту, ею уже всё равно нельзя воспользоваться, её надо разблокировать через банк-эмитент.
tendium
24.08.2015 09:48Спасибо. Т.е. вы по сути подтвердили мое предположение, что процитированное не является правдой.
amarao
22.08.2015 15:47На Кипре термпература 42. Клавиши тепловизором определять будут по характерному похолоданию в местах прикосновения человека?
vasfed
22.08.2015 17:20На pos-терминалах пластик остывает быстрее, но нет лишних нажатий и можно даже порядок набора увидеть, уже были материалы на эту тему
teifo
23.08.2015 01:28Так и хочется написать «храните деньги в сберегательной кассе», не храните деньги на «пластиковой» карте.
Я сам лично пока сделал отдельную карту для расчетов в магазинах и интернете с небольшой суммой на ней. На нее деньги перевожу с онлайн банка. Возможно стоит подумать о том, что расчетную карту вообще в отдельном банке завести, чтобы даже основной банк не светить нигде. Хотя и вхожу я в него только с дома. Правда может быть я уже ступил на неверную дорожку паранойи:)
mat300
23.08.2015 02:45+1ОК. Ну увидели вы пин в тепловизор. Дальше то что? А карту у того чувака на гоп-стоп отберете?
Скажете скимер считает. А нафига тогда довольно громоздкий тепловизор, когда при такой схеме используют микровидеокамеру?
Какой-то совершенно нереалистичный метод тут рассматривается. Никто так данные карты тырить не будет, разве что кто-то сам оставит карту на банкомате — прямо лично для вас.
Mithgol
25.08.2015 15:08Чтобы уберечь себя от мошенников, специалисты предлагают после использования пин-пада накрывать его ладонью, чтобы передать тепло всем клавишам.
Спасибо, всегда так делаю, ещё и потираю его слегка.
a_freeman
Вообще с камерой я-бы и без тепловизора справился )