Cyberkryminalni: Skimming po polsku

W czasach, gdy słowa "skimming" nie było jeszcze w słowniku, polscy przestępcy wynaleźli oryginalny sposób kradzieży danych dostępowych do kont. Wrocławska policja rozpracowała ich w 5 miesięcy, odkrywając przy okazji całkowicie nowatorskie metody działania cyberprzestępców.

Aspirant Maczek z uwagą oglądał umieszczony nad monitorem nawis reklamowy. Nie miał wątpliwości, że to oryginalny składnik bankomatu. Ale coś tu musiało nie grać – o ile, rzecz jasna, wczorajsza analiza była prawidłowa. Policjant ponownie zbliżył twarz do plastikowej powierzchni. I wtedy na jej dolnej krawędzi dostrzegł połyskującą smugę. Dotknął jej palcem i poczuł lepki opór.

– Klej – mruknął pod nosem. – Normalny klej. – Zrobił kilka fotografii, po czym sięgnął po komórkę i połączył się z nadkomisarzem Pawłowskim. – Używają kleju, żeby to zamocować – powiedział. Wniosek był zasadniczo poprawny. Tyle że ani aspirant, ani jego pryncypał nie wiedzieli, czym „to” jest bądź czym może być.

Była to bowiem pierwsza w Polsce i – jak się później okazało – również pierwsza w Europie tego typu sprawa. A ruszyła z kopyta wczoraj, od zwykłego podsumowania faktów. Wniosek okazał się szokujący, ale jak mawia Sherlock Holmes, jeśli wykluczymy to, co niemożliwe, to co pozostanie, musi być prawdą.

Punkt wspólny to podstawa

– To już prawdziwa epidemia – siedzący przed Pawłowskim funkcjonariusz referował mu stan sprawy. – Zaczęło się dwa miesiące temu. Na komendę na Krzykach zgłosił się gość, który twierdził, że z konta wyparowały mu ponad 3 kawałki. Na początku myśleliśmy, że może sam wybrał po pijaku i zapomniał albo coś w tym stylu. Ale w następnym tygodniu znikanie pieniędzy z kont zaczęło się powtarzać w całym Wrocławiu. Na dziś mamy ponad 600 poszkodowanych.

– Oczywiście próbowaliśmy powiązać te sprawy – podjął wątek siedzący obok aspirant Maczek. – Wytypowaliśmy nawet gościa, który teoretycznie mógłby dokonywać malwersacji – pracownik banku, z dostępem do odpowiednich informacji. Tyle że on pasuje tylko do kilku przypadków. A co z resztą? Jeśli te sprawy się łączą, to przecież musi być jakiś punkt wspólny.

– Może właśnie go mamy? – powiedział Pawłowski, patrząc na wyświetlacz stojącego na biurku telefonu. – Jak tam, znaleźliście coś? –  zapytał, gdy po drugiej stronie zabrzmiał znajomy głos policyjnego analityka. Przez jakiś czas nadkomisarz monotonnie kiwał głową, robiąc notatki w skoroszycie, a potem rozłączył się i popatrzył na siedzących przed nim policjantów. – No to chyba faktycznie coś mamy – powiedział, ale z jego miny nie można było odczytać, czy wiadomość faktycznie jest aż tak dobra. – Pamiętacie, jakie były problemy, żeby skłonić banki do udostępniania historii kont poszkodowanych. Tajemnica bankowa i takie tam. Ale w końcu się udało bez nakazu. Od razu poprosiłem sekcję analiz o znalezienie podobieństw. Wygląda na to, że pierwsza seria poszkodowanych – popatrzył w notatnik – dokładnie 236 osób, tego samego dnia pobierała pieniądze w bankomacie na placu Dominikańskim. Pozostałych też łączy bankomat – wypłacali środki dwa tygodnie później, też w poniedziałek, z maszyny przy Wita Stwosza.

– Ale co ma bankomat do malwersacji na kontach? – zapytał niecierpliwie Maczek. – Przecież nikt nie zgłosił kradzieży karty. Nikt jej nawet nie zastrzegł. Mało tego, większość poszkodowanych zeznała, że nikomu jej nie udostępniała. A przecież karty nie można skopiować, jak się nie ma do niej fizycznego dostępu.

Pawłowski zamyślił się. – Ale jednak ktoś miał dostęp – powiedział powoli, ponieważ myśl, która sekundę wcześniej wpadła mu do głowy, teraz wydała się trochę niedorzeczna. Obydwaj aspiranci patrzyli na niego w skupieniu, więc dodał: – Bankomat.

Cisza trwała krótko. Później były już tylko dyspozycje. Pawłowski skinął głową na Maczka: – Obskocz  te dwie maszyny jutro z rana. Może coś znajdziesz. Nic lepszego na teraz nie mamy – dokończył, widząc zdziwienie w jego oczach, i odwrócił się do drugiego funkcjonariusza. – Ty podjedź do labu i dowiedz się, czy można jakoś przechwycić dane karty, nie niszcząc przy tym bankomatu.

Jak to w ogóle możliwe

– Teoretycznie jest to możliwe. – Pracownik laboratorium policyjnego był lekko otyły, nosił sweter z ozdobnymi łatkami na łokciach i zupełnie niepasujące mu okulary w rogowych oprawach. Włączył projektor i wskazał na ekranie miejsce, w którym widać było cienkie brązowe pudełko. – W USA wykryli tę metodę dopiero kilka miesięcy temu. Złodzieje przylepiają to na szczelinę. W czasie wsuwania karty, zanim trafi ona do bankomatu, informacje z paska magnetycznego przechodzą przez to ustrojstwo i zapisują się w jego pamięci. Po kilku godzinach, jak nie ma ruchu, złodzieje ściągają to i odczytują dane. Później za ich pomocą bez problemu programują czyste karty. System nie odróżnia ich od oryginału, więc przestępcy mają pełny dostęp do kont.

– No, dobrze, ale skąd mają piny do kart? – zapytał powoli Pawłowski.

– Po prostu filmują klawiaturę. Minikamerę mocuje się z reguły nad nią.

– Jak sądzicie, w jaki sposób to robią?

– Na klej – powiedział z przekonaniem aspirant Maczek, który dosłownie przed sekundą otworzył drzwi laboratorium. Szybkim krokiem podszedł do siedzących przy biurku mężczyzn i pokazał im zdjęcia na aparacie cyfrowym. – Nie wiem jaki, ale to na pewno klej.

Pawłowski zamyślił się. – Jeśli to podobny przypadek – odezwał się po chwili –  to wcześniej czy później w bankomatach pojawią się fałszywki.

Epizod w Bydgoszczy

Przypuszczenia Pawłowskiego okazały się trafne: po tygodniu wrocławskie bankomaty zaczęły zatrzymywać coraz więcej plastikowych kart – białych, z odręcznie napisanymi pinami. To był argument, który skłonił banki do szerszej współpracy. W efekcie policja otrzymała pełny dostęp do nagrań z bankomatowych kamer, a same banki – co okazało się dużo bardziej istotne dla sprawy w jej dalszym biegu – wprowadziły monitorowanie kont online.

Jednak przestępcy jakby coś wyczuli: pieniądze dalej ginęły, a bankomatu z nakładkami do skimmingu ciągle nie można było zlokalizować. Właściwy sygnał pojawił się dopiero po miesiącu.

– Mówisz, że to ta sama sprawa? – zapytał Pawłowski. W ręku trzymał komórkę, na której drugim końcu miał Maczka. Aspirant stał przy jednym z bankomatów w centrum Bydgoszczy, oglądając go dokładnie z każdej strony i robiąc zdjęcia.

– Raczej tak. Klej wygląda podobnie, umiejscowienie też – równy pasek na całej długości nawisu i trochę przy szczelinie.

W tym momencie zadzwonił telefon na biurku. Pawłowski zawiesił rozmowę

z aspirantem i odebrał go. – Dobrze, że mi pan o tym mówi. Wydaje mi się, że wiem, co się stało – powiedział po chwili, po czym rozłączył się, zbliżył do ucha komórkę i ponownie odezwał się do Maczka:

– Zrób parę fotek i wracaj do firmy. Właśnie miałem sygnał z monitoringu kont online – na kartę gościa z Bydgoszczy wybrano pieniądze w Bydgoszczy i po kilku minutach we Wrocławiu. Wniosek może być tylko jeden: mają nową partię kart. Dane zbierali w Bydgoszczy, ale na żniwa wybrali chyba Wrocław. Wracaj. Musimy obgadać, jak ich zdjąć – Pawłowski rozłączył się i mruknął pod nosem

– Tylko gdzie ich szukać?

Nocna odprawa

Za oknem panowała już noc, więc nie trzeba było zaciągać rolet, żeby wyświetlić na ekranie mapkę z bankomatami, z których do tej pory przestępcy wybierali pieniądze na fałszywki. Głos Pawłowskiego zdradzał wyraźne objawy zmęczenia.

– Tak naprawdę mamy niewiele – powiedział do zebranych na odprawie pracowników operacyjnych.

– Jedno zdjęcie z bankomatowej kamery, ale widać na nim tylko kapelusz. Wiemy, że przy skimmingu są ostrożni. Przy wybieraniu pieniędzy na fałszywki mniej – zawsze działają około północy. Powód? Na większości kont są dzienne limity gotówki do pobrania. Pobierają więc tuż przed północą, czekają kilka minut, żeby system odnowił limity po północy, i pobierają ponownie. Działają na dużym obszarze – od Jeleniej Góry przez Poznań aż do Łodzi, ale najczęściej we Wrocławiu. Dlatego proponuję się przyczaić właśnie tu – Pawłowski zmienił slajd, wskazał trzy bankomaty w centrum Wrocławia i odwrócił się do zebranych. – Podzielimy się na trzy zespoły i będziemy dyskretnie obserwować te miejsca około północy.

Zasadzka przy bankomacie

Mężczyzn było dwóch: młodzi, wyluzowani, szli ulicą Legnicką, żartując i często wybuchając gromkim śmiechem. Nagle skręcili w stronę bankomatu.

– To raczej nie oni. Za bardzo rozluźnieni –  odezwał się aspirant Maczek do towarzyszącego mu pracownika operacyjnego. Obydwaj siedzieli w białym citroenie na cywilnych numerach.

Dalsza obserwacja nie potwierdziła jednak tych domysłów – mężczyźni zbyt długo wybierali pieniądze. Poza tym kilka minut przed północą zrobili przerwę na papierosa, po czym znów wrócili do bankomatu. Co prawda, zaraz później dostrzegli podchodzącego do nich Maczka, ale myśleli – jak potem sami przyznali – że to tylko spóźniony klient.

– Policja. Czy mogę zobaczyć tę kartę?

– W dłoni Maczka pojawiła się legitymacja, a druga ręka wskazała na kawałek białego plastiku trzymanego przez jednego z mężczyzn. Przez moment w jego oczach widać było niezdecydowanie, ale prawie w tej samej sekundzie przy krawężniku z piskiem opon zahamował policyjny volkswagen.

Partnerem serii jest Mediarecovery – lider informatyki śledczej
www.mediarecovery.pl

Podejrzany posłusznie oddał kartę. Była prawie identyczna jak te, które od kilku tygodni zatrzymywały wrocławskie bankomaty: to samo ułożenie liter, ten sam charakter pisma.

W tym samym momencie partner Maczka zauważył, że drugi z podejrzanych zrobił krok w stronę trawnika i upuścił coś na ziemię.

– Kluczyki. To chyba pańskie – funkcjonariusz podniósł zgubę i podszedł do mężczyzny. Ten jednak stanowczo zaprzeczył. Podczas rewizji osobistej okazało się, że podejrzani mieli przy sobie ponad 20 plastików. Tłumaczyli się, że są spoza Wrocławia, a na dworcu spotkali kogoś, kto mówił, że można za ich pomocą wypłacić pieniądze, więc postanowili spróbować.

– To chyba nic złego? – pytali. Jednak widocznie było to coś złego, ponieważ wystarczyło, żeby zabrać ich na komendę w celu złożenia wyjaśnień.

Dwaj funkcjonariusze, którzy przyjechali jako pomoc, wzięli kluczyki i chodzili po okolicy, szukając pasującego do nich samochodu. W końcu na jednym z podwórek natrafili na fiata bravo, który mrugnięciem świateł odpowiedział na kliknięcie pilota. W środku znaleziono kolejne 60 fałszywek oraz kapelusz – dokładnie taki jak na zdjęciu wykonanym przez kamerę bankomatu kilka dni temu.

Przyznali się na dołku

Przez godzinę byli bardzo konsekwentni w zeznaniach: karty dostali od kogoś na dworcu. Nic więcej nie mają do powiedzenia poza tym, że są niewinni. Sytuacja zmieniła się dopiero po zaprezentowaniu im dowodów znalezionych w samochodzie – tym samym, do którego kluczyki jeden z podejrzanych upuścił na trawę. Ale i to pomogło niewiele: przyznali się, że nie są przyjezdnymi, lecz mieszkają we Wrocławiu. Podali też swoje miejsce stałego pobytu – mieszkanie w bloku należące do konkubiny jednego z nich.

Mężczyźni nie chcieli ujawnić prawdy, ponieważ dobrze wiedzieli, że za wyciąganie pieniędzy za pomocą podrobionych kart mogli dostać od roku do 10 lat więzienia. Tymczasem za fałszowanie środków płatniczych, czyli podrabianie kart na podstawie skradzionych danych, grozi kara od 5 do 25 lat więzienia. Dlatego dopóki mogli, trzymali się wersji, że tylko wybierali pieniądze.

Niestety, mogli niezbyt długo – już następnego dnia przeprowadzono rewizję w miejscu ich zamieszkania, gdzie znaleziono konkretne dowody. W ręce policji wpadł cały zestaw do skimmingu. Wykonany został metodą chałupniczą i był na tyle duży, że do transportu używano samochodu. W skład zestawu wchodził m.in. magnetowid, monitor, odbiornik radiowy oraz ogromna przetwornica, która po podłączeniu do samochodowego akumulatora wytwarzała napięcie 220 V.

Epilog, czyli głowa kleszcza

Waga dowodów była na tyle duża, że obydwaj podejrzani zrozumieli, iż nie unikną zarzutu fałszerstwa i poszli na współpracę. Pod okiem policji złożyli chałupniczy zestaw, „uzbroili” na próbę jeden z bankomatów i pokazali, jak w praktyce działa ich sposób na przechwytywanie danych. Obydwaj oraz pomocnik, którego wsypali, otrzymali karę 5 i pół roku więzienia. Zanim ich schwytano, zdążyli okraść około 1000 kont na sumę ponad 600 000 zł.

Pierwsza w Europie sprawa rozpracowania pełnego skimmingu stała się na tyle głośna, że zaraz po jej zakończeniu do wrocławskiej policji przyjeżdżały na szkolenia zespoły policyjne z całego kontynentnu: z Francji, Włoch, a nawet ze słynnego niemieckiego BKA. Nadkomisarz Pawłowski miał powody do dumy – mając zaledwie szczątkowe informacje o podobnych przestępstwach w USA, rozpracował i zlikwidował całkowicie nowatorski na owe czasy sposób dokonywania malwersacji bankowych.

Niestety, Pawłowski nie zdawał sobie sprawy, że odciął jedynie ciało kleszcza. Jego głowa – niezwykle inteligentny przestępca i konstruktor z Wałbrzycha, a zarazem mózg całej operacji – nie została nawet dostrzeżona. Po wpadce kolegów wspólnik schował się jedynie jeszcze głębiej, tylko po to, by po kilku miesiącach pojawić się nowej, zdecydowanie doskonalszej postaci. Ale to już zupełnie inna historia…

Przemysław Krejza, dyrektor ds. badań i rozwoju Mediarecovery

Przemysław Krejza, dyrektor ds. badań i rozwoju Mediarecovery

Co to jest skimming

Skimming to kradzież informacji z paska magnetycznego karty płatniczej. Dzięki temu możliwe jest stworzenie kopii karty i wykonywanie nią nieautoryzowanych transakcji. Najpopularniejszym sposobem jest dodanie do bankomatu skanera oraz kamery lub specjalnie przygotowanej nakładki na klawiaturę.

W trakcie normalnego użytkowania karty skaner wykonuje kopię paska magnetycznego, a kamera lub nakładka zapisuje numer PIN. W przypadku tego typu przestępstw informatyka śledcza pomaga znaleźć informacje potwierdzające ustalenia zebrane innymi metodami, np. jak odbywało się kopiowanie pasków, jakie zastosowano oprogramowanie oraz czy korzystano z programatorów kart.

Partnerem serii jest Mediarecovery – lider informatyki śledczej
www.mediarecovery.pl

0
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.