Skimming
Her er det installert skimmingsutstyr
Skimming har vore ein del i media for å prøve å vise kva me skal sjå etter for å ikkje bli lurt, men eg trur ikkje det er noko vanlege folk ser etter uansett. Sjølv er eg litt over normalt paranoid. So eg har ein tendens til å sjå litt ekstra etter, men eg har innsett at profft skimmingsutstyr er nesten umogleg å oppdage.
Kom i dag over ein sikkerheitsblogg som har skrive mykje om skimming. Det beste med denne serien innlegg, er at han har klart å skaffe bilete av masse utstyr.
Metodane har sjølvsagt utvikla seg sidan starten. Skimming har vell alltid vore ein risikosport sidan ein må ut å fysisk modifisere minibanken, men ikkje nok med det. Vanlegvis måtte ein hente inn igjen utstyret eit par dagar etterpå. For alle kortdata og PIN-kodar vart lagra i skimmingsutstyret.
I seinare tid har dei implementert GSM-modular. Dette gjer at dei ikkje treng å hente inn igjen utstyret. Etter at nokon har satt inn kortet og tasta koden vert all dataen sendt på SMS til eit valfritt nummer. Batteri er sjølvsagt framleis eit problem. So anten må ein la utstyret stå att utan batteri, ellers må ein ut å bytte batteri etter 2-3 dagar. (Kjem sjølvsagt an på aktivitet).
Om ein reknar 100-200 kort om dagen, og ein investering på 10-20 000,- kan ein fint la utstyret stå igjen.
Baksida av skimmingsutstyr. SIM-kortlesar til høgre.
Sjølv finn eg det heile utruleg interessant, og eg skjønner verkleg kvifor bankane ynskjer å auke sikkerheita ved å innføre chip på alle kort.
Bileta er henta frå: krebsonsecurity.com
Veven, ein skummel plass..
Tenkte eg skulle informere lesarane min litt om kva som kan skje berre ved å surfe rundt på internet, eg trur nemleg mange er litt naive når det kjem til sikkerheit på veven.
Når ein jobbar på ei IT-avdeling kjem ein over mykje rart, og ein av tinga er virus/malware.
27. august 2008 informerte eg to firma som driv med sal av bruktbilar om at vevsida deira innholdt skadlegkode. Dei som då hadde fått problem var Ovesbil.com & Bidnebil.no. Begge sidene var nede i over ei veke som følgje av informasjonen eg gav dei.
I dag kom me over ei ny infisert bil side, og denne gongen var det faktisk ei lokal, Leikangerauto.no. Denne sida er no faktisk reparert, men det er berre nokre timar sidan. Spørsmålet er om dei sjølve har tatt koden fekk, eller om angriparen gjorde det sjølv.
Det skumle med denne type åtak er at brukaren sjeldan har noko forsvar, og har inga aning om kva som faktisk skjer, for det heile vert gjort i bakgrunnnen.
No skal eg vise litt korleis dette vert gjort.
Det heile byrjar med at nokon klarar og endre på sida, dette kan skje på fleire måtar. Nokon vanlege metodar er at dei finn ut passordet til FTP-en, finn ut administrator kontoen (www.leikangerauto.no/administrator), SQL injection eller XSS. Kva som vart brukt i dette tilfellet veit eg ikkje.
Her ser de eit bilete av kjeldekoden til Leikangerauto.no før feilen vart retta:
<iframe> kan brukast til og opne ei eksternside utan at brukaren merkar det. Sånn som i dette tilfellet kor bredden og høgden er satt til 0, og stilen til skjult.
Og det er sida som vert opna i <iframe> som innheld den skadlege koden.
Det viser seg at ein ved kallenamnet "Aziza" har teke over denne sida:
...Og at han utnyttar ein feil i programmet Adobe Reader, muligens andre og.
Eg klarte ikkje og framprovosere same resultat her heime som det eg såg på jobb, men resultatet vart ikkje bra her heller. Hjå meg førte det til at Windows ikkje klarte og laste explorer.exe, som betyr at eg ikkje får opp noko anna enn eit blankt skrivebord. På jobb vart det installert eit eller anna program for å fjerne Spyware.
So kva kan ein gjere for å beskytte seg mot denne type angrep?
Det beste i mine auge er å bruke nettlesaren Firefox i lag med tillegget NoScript. Ein anna moglegheit er og bruke f.eks Chrome til nettlesar og FoxIt som PDF lesar. Dette er to program som er mindre utsatt for angrep, sidan dei har mindre brukargrupper. Adobe sine produkt har vore voldsomt utsatt i det siste. Dei fleste har og Adobe Flash på PC-en sin, hald det oppdatert, eller avinstaller det. Hold Anti-Virus programmet oppdatert, og ikkje minst køyr Windows update den andre onsdagen eller torsdagen i kvar månad.