Блог

ATM or POS skimming on SMS

A Russian-speaking man casually shows on camera how he can download a punter’s bank-card details and PIN from a special card reader.

In a video demonstrating a tampered sales terminal, a card is swiped through the handheld device and a PIN entered — just as any customer would in a restaurant or shop. Later, after a series of key-presses, the data is transferred to a laptop via a serial cable.

Account numbers and other sensitive information appear on the computer screen, ready to be exploited. And the data can be texted to a phone, if a SIM card is fitted to the handheld.

The footage, apparently shown on an underworld bazaar, is used to flog the compromised but otherwise working kit for $3,000 apiece — or a mere $2,000 if you’re willing to share 20 per cent of the ill-gotten gains with the sellers under a form of hired-purchase agreement.

The gang selling this device offers a money-laundering service to drain victims’ bank accounts for newbie fraudsters: a network of corrupt merchants are given the harvested card data and extract the money typically by buying fake goods and then cashing out refunds. The loot eventually works its way back to the owner of the hacked card reader.

The modified Verifone VX670 point-of-sale terminal, shown below, retains in memory data hoovered from tracks 1 and 2 of the magnetic stripe on the back of swiped bank cards, as well as the PIN entered on the keypad — enough information to ATM withdrawal.

The setup suggests the sellers are based in Russia. In the video, a credit card from Sberbank, the country’s largest bank and the third largest in Europe, is used to demonstrate the modified terminal’s capabilities.

If a SIM card for a GSM mobile phone network is fitted to the doctored device, the information can be sent by SMS rather than transferred over a serial cable. The bundling of money-stealing support services, allowing fraud to be carried out more easily, is a new development in the digital underground.

Some Ukrainian groups sells this modified model of POS terminals and provides services for illegal cash-outs of dumped PINs through their own ‘grey’ merchants: it seems they buy fake stuff, and then cash-out the money. It takes less than three hours.

The emergence of hacked card readers is due to banks improving their security against criminals’ card-skimming hardware hidden in cash machines and similar scams. Planting data-swiping malware in POS handhelds out in the field is possible, but it is fairly tricky to find vulnerable terminals and infiltrate them reliably without being caught.

It’s a touch easier to buy a tampered device and get it installed in a shop or restaurant with the help of staff or bosses on the take. This creates a huge potential market for money mules.

Scam schemes

Banking giant Visa has issued several alerts about this kind of fraud along with occasional warnings about device vulnerabilities — such as this warning [PDF] from 2009. And social-engineering tricks [PDF] in which fraudsters pose as Visa employees carrying out adjustments to terminals — while actually compromising them — has been going on for years.

One alert [PDF] from Visa, dating from 2010, explains how carders worked in the past and the steps merchants can take to defend against the fraud: anti-tampering advice from this year can be found here [PDF], an extract of which is below:

Worldwide gungs are illegally accessing active POS terminals and modifying them by inserting an undetectable electronic “bug” that captures cardholder data and PINs during normal transaction processing.

The impact of this type of business can be significant to all key parties involved in card acceptance. An attack can not only undermine the integrity of the payment system, but diminish consumer trust in a merchant’s business. In response to this emerging threat, acquirers, merchants and their processors need to proactively secure their POS terminals and make them less vulnerable to tampering.

A more recent advisory on combating this type of fraud, issued earlier this year by Visa, can be found here [PDF].

A copy of the web video is embedded below.

Tampering with card readers has been going on for years, since banks are investing more in securing cashpoints, penetrating point-of-sale terminals can be an easier way to make money for carders.

The worldwide gangs will go after anything they can, but it can be easier to find dishonest merchants to cooperate in running tampered terminals [to skimm DUMP + PIN bank details] than going after ATMs, this kind of business was rife in South America, particularly in countries such as Brazil.

The Russian-speaking carders behind the black-market sale of hacked sales terminals are targeting the international market as well as carders in the motherland. The example showen for Sberbank on video was just because it also used against banks of other Russian-speaking countries well.

04.02.2015

Форт-Мид ищет добровольцев или кто такой Russian Language Professional — MDFM01

MDFM01 — Requisition ID 021414

USA-Maryland-Ft. Meade

Description

Language Professionals may be expected to:

• Scan materials to identify items that require further processing;

• Categorize and prioritize materials for further processing;

• Perform further processing of material in the format required;

• Recover Essential Elements of Information (EEIs);

• Provide gists, summaries, full and verbatim translations or audio and/or written material.

Qualifications

Language Professionals must have a minimum of four years of transcription, translation or other language related
cryptologic experience. They must have the linguistic proficiency necessary and the skills required to perform the
assigned tasks with minimal supervision. They shall be able to compile and update operational working aids and
databases. Basic internet research skills and an understanding of telecommunications and computer network
communications fundamentals are desired, although not required.

Performance at level 3 in listening or reading as defined by the Interagency Language Roundtable (ILR) scale

required. Must possess or be capable of obtaining a TS/SCI clearance with Poly.

US Security Clearance Required

: Top Secret SCI with Polygraph

Schedule

: Full-time

Shift

: Day — 1st

Travel

: Yes, 10 % of the Time

Organization

: STRATIS

Что делать, если военное подразделение не понимает, какие задачи перед ним поставлены? Правильно, нужно увеличить штат подразделения и расширить ему круг задач!

В воскресенье стало известно, что Министерство обороны США приняло решение о самой большом расширении отдела, который занимается компьютерной безопасностью. Речь идёт о подразделении Cyber Command, которое находится в ведении Минобороны США.

Подразделение United States Cyber Command (USCYBERCOM) основано в 2009 году. Штаб-квартира расположена на территории военной базы Форт-Мид (штат Мэриленд). Первым руководителем назначен по совместительству глава Агентства национальной безопасности — генерал Кит Александер, он же руководит подразделением до сих пор. Задачей USCYBERCOM является «планирование, координация, интеграция, синхронизация и осуществление действий для руководства и защиты определённых компьютерных сетей Минобороны, подготовки и проведения полного спектра операций в киберпространстве».
Пентагон признаёт, что столь масштабное увеличение отдела невозможно произвести одномоментно. Придётся потратить много времени, сил и финансов на поиск кандидатов, а затем — на их подготовку, прежде чем они станут квалифицированными специалистами в области компьютерной безопасности.

В рамках увеличения штата планируется создать три специализированных бригады:

Национальные силы для защиты компьютерных систем, критической инфраструктуры и энергосистемы США.
Боевая бригада для планирования и осуществления атак на противника.
Силы киберобороны для защиты Пентагона он вражеских кибератак.

Интересно, что расширение киберотдела происходит в то время, как Пентагон сокращает издержки по другим направлениям, в том числе уменьшает штат контрактников в национальной армии.

Что самое интересное, эти ребята ведут набор добровольцев практически с улицы, в отличие от Украинских или Российских спецслужб, куда берут только по знакомству и с хорошей родословной.

04.02.2015

Societe Generale Bank adopted SWIFT’s VAN for connecting to T2S

SIX Securities Services and Clearstream have already pledged to use the service when it goes live on T2S in 2015, ensuring what Swift claims will be the «secure exchange of business information, in ISO 20022 format, with the highest resilience, at the best price and with the least upfront cost».

SGSS will also be able to provide a customised offer incorporating local and global custody with direct access to T2S for settlement, in addition to added-value asset servicing expertise.

Alain Raes, chief executive, EMEA and Asia Pacific, SWIFT, comments: The confidence of such a major player in our T2S connectivity solution is a significant endorsement.”

Citigroup already connected.

03.02.2015
Продажа, покупка и монетизация трафика на площадке процессинга

Хотелось бы вновь заострить внимание участников нашего клуба и зрителей на проблеме рынка трафика, точнее, о необходимости, или даже скорее, о неизбежности возникновения в интернете Банковской Системы.

О необходимости банковских структур в интернете уже давно говорят эксперты и вполне логично, что с развитием этой инфраструктуры, интернет получит мощнейший коммерческий рост. Никто ведь не сомневается, что банковская деятельность в реале это кровеносная финансовая система для бизнеса. Почему в интернете, где роль денег выполняет трафик, должно быть как-то иначе? Монетизация интернет рессурсов большая проблема и порог вхождения в рекламную сеть яндекса или другую систему по количеству трафика, вовсе не является основным препятствием для монетизции ресурса.

К примеру, Google AdSense не имеет нижней планки по трафику на сайт. Основным препятствием на пути к монетизации ресурса является крайне низкая стоимость клика в таких системах относительно реальной стоимости.

Банковская система, контролирующая и оптимизирующая трафиковые потоки смогла бы значительно снизить эту дельту и сделать выгодной монетизацию ресурсов на национальной бирже трафика в т.ч. за счет наценки на опт (оптом целевой трафик на бирже покупать выгоднее, поскольку собирать его по сусекам и платить каждому вебмастеру обходится слишком дорого, а совсем маленький трафик по 1-2 посетителя в неделю никому не интересен. Конверт на сайте удобно настраивать лишь на достаточном для этого объеме).

Роль поисковых систем, как гегемона распределения поискового трафика, могла бы быть серьезно ограничена. Сейчас, все попытки перераспределить трафик с ресурса в нужную вебмастером сторону при помощи редиректа, карается поисковиком. Т.е. коммерческое использование редиректа яндексу крайне не выгодно именно по причине угрозы утери контроля над перераспределением поискового трафика. Очевидна монополия, которая должна быть отрегулирована ФАС применительно к Яндексу.

Данные действа со стороны Яндекса мешают вебмастерам зарабатывать на своих сайтах путем продажи с них трафика, тем самым, коммерциализация интернета сильно тормозится. Если даже не использовать редирект, а поставить баннер, то Яндекс забанит по стуку такой сайт с формулировкой: Ваш сайт используется для перенаправления трафика. Лично у меня такие случаи бывали не раз. И не стоит ждать от Яндекса сдачи своих позиций ненасильственным путем.

Банковская деятельность с трафиком в интернете сулит массу схем с трафиком, от его покупки и продажи, до осуществления кредитов в трафике, хранение своих сбережений в виде трафика и выплаты процентов тем же трафиком или другим трафиком по курсу обмена. Целая индустрия, которая только ждет выгодных условий, чтобы вырваться на рынок, создать кучу рабочих мест, в виде многочисленных брокеров и просто феерически огромной массой всевозможных банковских услуг.

Конечно, банковская деятельность с трафиком сильно отличается от привычных денежных схем, поскольку хранить деньги это одно, а хранить текучий трафик, совсем другое дело. Но Яндекс в этой системе может занять достойное место регулятора, поскольку объем трафика по прежнему будет зависеть от поисковых алгоритмов, так что хранение трафика в каком-либо банке и участие некоторого пула трафика на бирже и судьба сделки, будет всецело зависеть от поисковика. Т.е. Яндекс может стать основным игроком на бирже, причем сможет мухлевать, поскольку на «акции» трафика сможет влиять так сказать изнутри своих алгоритмов.

Т.е. я хочу сказать, что способствуя развитию банковской деятельности, яндекс скорее увеличит свою прибыль, а не уменьшит.

Ну а раз так, то всем нам следует серьезно подготовиться к неизбежному приходу банков в интернет, а уж как, тут каждый решает сам. Кто-то станет инвестором и создаст уже сейчас стартап банка или биржи, а кто-то будет готовится к брокерской деятельности и забивать столбики в интернет-офшоры.

P.S. Если тему читают потенциальные инвесторы, готов спрогнозировать ситуацию будущего развития этих тем более детально и расставить нужные акценты.

01.02.2015
Как дроповоды площадки процессинга угнали ботнет

Учитывая огромную популярность банковских ботнетов Zeus, возможность взлома и последующего угона банковских ботов делает его панель управления отличной целью для дроповодов и реальных заливщиков денег.

Малоизвестный дроповод Darkmoney, под ником Xylitol, продемонстрировал, как всего за одну минуту можно осуществить угон систем удаленного управления ботами ZeuS. Напомним, что этот известный опасный банковский троян среди прочего способен незаметно переводить средства с банковских online-счетов. Ботоводы обычно создают свои варианты трояна с помощью инструментов и исходного кода, которые можно легко скачать с торрент-трекера бесплатно.

Сейчас достоверно известно, что у бота, контролирующего код на C&C-серверах, есть брешь в безопасности, благодаря которой они могут разрушить киберпреступные сети изнутри. К примеру, ранее сообщалось об ошибке удаленного выполнения кода в панелях управления ZeuS 2.0.8. Теперь же дроповод Xylitol продемонстрировал взлом Zeus 2.1.0.1.

Дроповод извлек ключи RC4, используемые для шифрования коммуникаций между ботами и C&C-сервером, а также URL-адрес сервера ZeUS. Затем он проэксплуатировал брешь и получил доступ к панеле управления ботнетом. «Угнать Zeus еще никогда не был настолько просто», — говорится в описании видеоролика, опубликованного Xylitol. По его словам, атаку можно осуществить еще быстрее, если автоматизировать процесс взлома с помощью все той же среды Metasploit Pro.

Предполагается, что дроповод использовал для взлома и угона панели управления Zeus комбинацию эксплоитов, написанных на PHP. Ключ RC4 генерируется бот-мастером при настройке C&C-сервера, и боты, подконтрольные ему и зараженные компьютеры используют одинаковый ключ. По словам заливщиков денег, этот ключ может быть извлечен из бота и использован для того, чтобы «обмануть» сервер управления ботнетом. Учитывая огромную популярность ботнетов на основе Zeus, возможность взлома и угона панели управления делает его отличной целью для дроповодов, только что решивших начать работать в теме денежных заливов и обнала.

01.02.2015