Bankomat zrobili sami. Do złudzenia przypominał prawdziwy. Przez kilka godzin działał w centrum Wrocławia. Kiedy wyszło na jaw, że nie wydaje pieniędzy, wpadło kilku naraz. Akurat próbowali przenieść maszynę w inne miejsce. Podbieracze wpadają najczęściej.
Podbieracze, czyli skimmerzy, potrafią wyciągnąć numer PIN karty kredytowej i dane zapisane na jej pasku magnetycznym. A potem gdzieś w Londynie lub w Kijowie, z bankomatu przy pubie czy na stacji benzynowej, również pieniądze z konta. Ich broń to mikrokamera z minimalnym zasilaniem, czytnik kart, klawiatura i dwustronna taśma przylepna. Kamerka lub klawiatura rejestrują cyfry wbijanego PIN-u, czytnik skanuje pasek. Wszystko razem z najbliższego sklepu z elektroniką za niewiele ponad 100 zł. Trudniej zrobić obudowę do złudzenia przypominającą prawdziwy bankomat. Do niej mocuje się mikrokamerę.
— Nakładki skanujące montują na bankomacie, ale zdarza się, że też przy drzwiach do pomieszczenia, w którym stoi. Kamerka sprawdza ruch palców na klawiaturze, która też może być fałszywa, doklejona na prawdziwą — mówi nadkomisarz Krzysztof Hajdas z Komendy Głównej Policji w Warszawie.
Zamontowanie złodziejskiego zestawu trwa moment.
— Wystarczy kilkadziesiąt sekund. Listwę z kamerą przylepiają na taśmę dwustronną. — dodaje Hajzer.
Niekiedy kamerę chowają np. w stojaku na ulotki. Podbieracze wiedzą, że kamera bankowa rejestruje ruch przy bankomacie, ale nie klawiaturę. Widać człowieka, nie jego palce. Dane z ich mikrokamery i czytnika magnetycznego są przekazywane niekiedy drogą radiową, Wi-Fi lub SMS-em do "klonów" — kumpli podbieraczy, którzy prostym urządzeniem nagrywają otrzymane dane na karty z paskiem magnetycznym, np. miejską czy jakąś bezpłatną z różnych promocji lub kupioną za grosze w internecie. I znowu podbieracze ruszają na miasto. Z lewymi kartami, po kasę.
Karty nie znają granic, więc obrobić bankomaty mogą wszędzie.
— Dlatego trudno oszacować skalę skimmerskiej roboty. W Polsce rocznie notujemy kilkanaście wypadków skimmingu. Przy czym jest pewna prawidłowość: karty skanowane w jednym kraju są realizowane w drugim, np. skanowane w Wielkiej Brytanii, realizowane są w Polsce. Znacznie rzadziej skanowane są w Polsce — informuje Hajdas.
Podbieracze to głównie obcokrajowcy.
— Jak dotąd zatrzymujemy obcokrajowców, rozbiliśmy już kilka zorganizowanych grup — dodaje Hajdas.
Nasze bankomaty pokochali głównie Rumuni, Węgrzy i Bułgarzy. Ale nie tylko. W zeszłym roku na Okęciu zatrzymano obywatela Wenezueli, byłego pracownika firmy produkującej bankomaty, który na podstawie lewych kart oskubał ponad 80 maszyn, głównie w Warszawie. Czy działał w pojedynkę? Mógł, choć zazwyczaj podbieracze pracują w grupach.
— Jedni produkują urządzenia, inni je instalują w bankomatach, kolejni produkują karty, które jeszcze inni realizują. Często się nie znają — mówi Hajdas.
A słyszał o metodzie "na blaszkę"?
— To znaczy?
Wkłada się niewielką blaszkę w otwór wydający gotówkę. Gdy bankomat ma ją wypłacić, włącza się tryb awaryjny i wyświetla komunikat o błędzie. Klient odchodzi wkurzony, bo sądzi, że urządzenie się zepsuło, a wtedy podchodzi podbieracz, wyciąga blaszkę i pieniądze.
Metoda prosta jak drut. Hakerzy znają inne. Ciekawsze.
Nic nie powiem
Wśród hakerów krąży dowcip o tym, jak obrobić bankomat. Potrzebny laptop i młotek. Podchodzi się do bankomatu i wali młotkiem do skutku. Więc po co laptop? A co to za haker bez laptopa? W Sosnowcu najpierw włamali się do sklepu, w którym stał bankomat, potem palnikiem wycięli dziurę w maszynie. Uciekając, zabrali ze sklepu laptopa.
— I gdzie tu finezja? — pyta Gandalf, znany w światku hakerskim z zamiłowania do bankomatów. Dotarliśmy do niego dzięki użytkownikowi forum dla hakerów. Krąży o nim mit, że potrafi wyciągnąć z maszyny dane za pomocą zwykłej empetrójki.
— Nie jestem specem od bankomatów, lecz od łamania lub wynajdywania luk w systemach zabezpieczeń urządzeń elektroniczno-mechanicznych — poprawia Gandalf.
Niezbyt młody, niezbyt zadbany, nie nazbyt miły ani rozmowny. Większość pytań zbywa milczeniem lub półsłówkiem.
— Nie powiem ci nic ciekawego, nie licz na to — zastrzega na początku.
Głupia maszyna
Gandalf "zrobił" kilkanaście bankomatów. Mówi, że z żadnego kasy nie wziął, choć mógł, ale wystarczyła satysfakcja. Po każdej akcji powiadamiał informatyków banku, do którego należało urządzenie, informując ich o wadzie zabezpieczenia. Tak mówi, choć jego Acer Ferrari 1100 z dyskiem wielkim jak Torwar chyba nie z pensji.
— Po kilku dniach wracam, robię to samo. I co się okazuje? Nikt nawet palcem nie ruszył, żeby sprawę załatać. Wtedy naprawdę mam ochotę opróżnić taki bankomat do gołej deski — mówi Gandalf.
Może jest hakerem idealistą, a może najzwyczajniej ściemnia.
— Zdziwiłbyś się, gdybyś wiedział, ile jest sposobów na oszukanie bankomatu. Maszyna, choć inteligentna, nie myśli, łatwo jej wmówić, co ma robić. I robi. Gliniarze znają raptem kilka najprostszych sposobów, jak podkładki czy klawiaturki. Numery dla dresów. Prawdziwa sztuka polega na poproszeniu bankomatu, żeby sam nam dał, czego potrzebujemy. Do tego trzeba ludzkiej głupoty oraz lat spędzonych nad książkami i schematami — zapewnia Gandalf.
Twierdzi, że na tym właśnie uleciała mu młodość.
— Gdy inni czytali komiksy, ja studiowałem specyfikacje kart kredytowych ISO/IEC 7812-1 i ANSI X4, procedury serwisowe i manuale ATM — mówi.
Na serwisanta
Ponoć wie, jak "rozmawiać" z bankomatem.
— On sam w sobie jest łatwym celem. Mechanizm wydający pieniądze reaguje na polecenia swego wewnętrznego komputera, który łatwiej oszukać, niż rozpruć blachę. W komputerze tkwi to samo, co w większości pecetów na świecie — system operacyjny Windows. A w nim są dziury — uważa haker.
Łatwo je wykorzystać i oszukać komputer. Sposobów jest wiele. Najprostszy — na serwisanta.
— Wklepujesz na klawiaturze sekwencję cyfr będących domyślnym kodem administracyjnym. Zna go każdy serwisant. Niedawno znalazłem taki kod w jednym z oficjalnych podręczników serwisowych. System rozpoznaje cię jako serwisanta i staje się niczym młode ciało — pozwala robić ze sobą, co chcesz. Możesz tak przeprogramować mechanizm wydający banknoty, że dziesięciozłotowe potraktuje jak stuzłotowe i zamiast dziesiątek zacznie wydawać setki — zapewnia Gandalf.
Sposobów na ogłupienie maszyny jest ponoć więcej. O wszystkich Gandalf nie mówi.
— Nie każdy wie o ciekawej funkcji klawiatury. Jak się wsadzi kartę do bankomatu i wpisze kod PIN, ale od końca lub przestawiając cyfry, zamiast informacji o saldzie, do banku idzie informacja o napadzie i konto jest blokowane. W niektórych krajach automatycznie powiadamiana jest także policja — mówi Gandalf.
A metoda "na blaszkę"?
— Zapytaj dresów, nie hackera. W skrócie: chodzi o oszukanie czujników sterujących funkcją reversal, odpowiedzialną za wciąganie z powrotem do kasety wewnętrznej banknotów niepodjętych w odpowiednim czasie. Maszyna zamiast je wciągać, wydaje je — instruuje haker.
Ciąg dalszy przeczytasz w piątkowym "Pulsie Biznesu"