Друзья, решил я слегка наступить на скользкую тропу :) Я не являюсь большим специалистом по мошенническим операциям, однако так сложилось, что кое-что о таких вещах знаю. Только распространять такую информацию - не совсем честно... Вместе с тем, подобные вещи просто сами по себе очень интересны и проливают свет на то, с чем сталкиваются специалисты по безопасности, как устроена индустрия и т.д. Поэтому я рискну сегодня рассказать про один из устаревших способов обмана банкоматов. Мне просто он очень нравится - в нем есть некое изящество инженерной мысли (пусть и преступной), не могу не оценить по достоинству.
В общем, слушайте.
В банкомате есть несколько кассет для купюр. На выдачу - от четырех до восьми (больше трудно вместить). Там могут быть номиналы одной валюты, а могут быть несколько валют, и в последнем случае четырех кассет явно мало. Но помимо этих кассет есть еще парочка служебных. Одна - для "бракованных" купюр (которые, например, замяло, или сразу две склеились, и т.п. - банкомат сам не может разобраться с ними, и тогда он сбрасывает эти непонятные купюры как раз в эту кассету, reject-кассета). А есть еще одна кассета, называющаяся Retract, и она вот для чего. Когда кто-то снимает деньги, они собираются с кассет и поступают в устройство выдачи. Это устройство открывает свою бронированную крышку и высовывает купюры. Но в банкомате на каждое действие предусмотрен свой собственный таймаут, бесконечно торчать наружу купюры не будут. По истечении этого таймаута банкомат эти купюры втянет назад и закроет бронированную крышку. Подразумевается, что клиент просто забыл достать купюры из банкомата. Обычный среднестатистический банкомат не умеет ничего больше с этими купюрами сделать, а там ведь может быть набор из разных номиналов. Поэтому эти купюры сбрасываются в ту самую Retract-кассету. Если неуспешных выдач было несколько - там накопится какое-то количество сброшенных купюр.
Как устроено мошенничество, связанное с этим механизмом? Дело вот в чем. Ситуация не самая распространенная, и потому устройство выдачи не умеет определить, сколько купюр было втянуто. Поэтому мошенник делает так: заказывает к выдаче пачку купюр, затем пальцами удерживает часть пачки (просто удерживает, не вытаскивает). Банкомат ждет положенный таймаут, затем пытается втянуть купюры назад. Однако получается это сделать только с теми купюрами, которые не удерживаются пальцами злоумышленника. Банкомат думает, что втянул все купюры, сбрасывает их в retract-кассету, а транзакцию откатывает назад. И получается, что с карты как будто бы ничего не сняли, а в руках у мошенника несколько купюр. Он идет в несколько других банкоматов и повторяет фокус (ведь баланс карты не уменьшился).
Однако этому способу довольно легко противодействовать... Во-первых, транзакция теперь не откатывается. Во-вторых, сейчас любой банкомат после сброса в retract-кассету просто переходит в режим, где он или вообще не позволяет ничего сделать, или просто деньги не выдает (но справка по счету, платежи с карты и проч. продолжают работать). Тогда в retract-кассете будут деньги, связанные с одной-единственной транзакцией, и теперь легко определить, все ли деньги вернулись. Если нет - понятно с какой карты мошенническая операция и на какую сумму. А если это еще и карта нашего банка - то мы вообще знаем, где человек живет.
А сколько денег в retract-кассете, выясняется в момент инкассации.
Вот так это устроено :)
Читайте также: