[PZ] [KRADZIEŻ DANYCH KART - 27.04.25] unlucky atm

[.Bojownik]

**Dnia 27.04.25 pracownik jednej ze stacji w dzielnicy Davis, sprawdzając zapisy z kamer ok. godziny 13:30 dostrzegł dziwne działania pod jednym z dwóch bankomatów znajdujących się na stacji. Około godziny 01:00 w nocy, dnia 27.04.25 pod bankomat przyjechał nieznajomy im rowerzysta, który po odczekaniu jakiejś chwili podszedł pod jeden z bankomatów i dokonał montażu podejrzanych części. Po wszystkim oddalił się z miejsca i ruszył w głąb dzielnicy Davis, gdzie ślad po nim zaginął. **

lokalizacja atm; 

Edytowane 27 Kwietnia 2025 przez .Bojownik

[gravgor]

**Sprawa skimmingu z dnia 27.04.2025 roku na stacji paliw w dzielnicy Davis trafiła na biurko agentów Federal Bureau of Investigation z biura terenowego Los Santos, którzy natychmiast podjęli działania operacyjne. Tuż po świcie na miejsce zdarzenia przybyli specjaliści z Evidence Response Team, rozpoczynając intensywne czynności śledcze. Zespół wyznaczył strefę zabezpieczenia, starannie oznaczył wszystkie ślady oraz zabezpieczył podejrzane elementy pozostawione przez sprawcę. W centrum zainteresowania znalazł się bankomat, przy którym nieznany sprawca zainstalował nocą urządzenie skimmingowe. Agenci terenowi wspólnie z ERT zabezpieczyli również materiał wideo z kamer monitoringu, pobrali ślady daktyloskopijne i włókna, a następnie przeprowadzili przesłuchania personelu stacji. Dzięki szybkim i skoordynowanym działaniom, wszystkie kluczowe dowody zostały zabezpieczone i trafiły do dalszej analizy kryminalistycznej.**

 

((pytania do przestepstwa niedlugo))

[302]

**Evidence Response Team przekazało zabezpieczone materiały dowodowe w postaci urządzeń ściągniętych z ATM do laboratorium, dokonano także analizy nagrań z monitoringu stacji - jak i CCTV w okolicy.**

1. Na  zabezpieczonych urządzeniach do skimmingu zostały znalezione jakiekolwiek ślady biologiczne? (naskórek, pot, odciski palców)
2. Czy urządzenia zawierają pamięć wewnętrzną, która może zawierać dane o przechwyconych PIN-ach lub innych informacjach?
3. Skimmer był podłączony do jakiejkolwiek formy łączności, np. Bluetooth, Wi-Fi lub innych transmisji danych?
4. Czy po analizie komponentów urządzeń, można trafić na jakiekolwiek powiązania z innymi przestępstwami skimmingowymi w hrabstwie Los Santos?
5. Urządzenia do skimmingu zawierają jakiekolwiek ślady, które mogłyby wskazywać na sklep lub osobę, która je zakupiła?
6. Czy na urządzeniu zostały znalezione jakiekolwiek dane, które mogłyby wskazywać na poprzednie lokalizacje, w których było używane? (np. numer karty, identyfikatory transakcji, dane logowania)
7. Kamera mogła zarejestrować dokładny wygląd rowerzysty? (budowa ciała, znaki szczególne)
8. Rowerzysta wykazywał jakąkolwiek ostrożność, np. sprawdzając okolice przed instalacją skimmera, co mogłoby sugerować, że znał miejsce?
9. CCTV w pobliżu zarejestrowały trasę, którą rowerzysta przebył po oddaleniu się od bankomatu?
10. CCTV w pobliżu zarejestrowały trasę, którą rowerzysta przybył do bankomatu?
11. Sprawca wykorzystał dane z ukradzionych danych kart kredytowych do zakupów online, wypłaty gotówki?

Edytowane 27 Kwietnia 2025 przez 302

[.Bojownik]

1. Mężczyzna podczas "kontaktu" z urządzeniami miał na dłoniach rękawiczki, w momencie montażu na ATM również na dłoniach miał rękawiczki.
2. Tak zawierają pamięć wewnętrzną. 
3. Skimmer połączony był bezpośrednio z oprogramowaniem znajdującym się na komputerze mężczyzny. 
4. Nie.
5. Służby bo większej analizie, mogły w jakiś sposób dojść do jednego ze sklepów na dark-necie, z którego został zakupiony sprzęt.
6. Skimmer został użyty pierwszy raz, będąc montowanym na ATM.
7. Tak kamera mogła zarejestrować rowerzystę.
8. Kamery mogły zarejestrować, że po przybyciu na stacje i zejściu z roweru, rozglądnął się dosłownie kilka razy głównie czekając na zmniejszenie się natężenia ruchu wokół stacji jak i na stacji. 
9. Zapewne kierunek w którym ruszył po swoich działaniach nie był zbytnio monitorowany przez kamery CCTV - jedynie kamery ze stacji mogły nagrać jak mężczyzna wyrusza w kierunku szpitala który znajduje się na Davis
10. Przy Davis High School kamery mogły zarejestrować pierwszy raz mężczyznę, następny raz pod szpitalem Davis gdzie finalnie odbił pod stacje.
11. Dane zostały sprzedane w sieci, wiec zapewne zostały wykorzystane przez osoby postronne do zakupów online i wypłaty gotówki.

Strój rowerzysty;

[gravgor]

**Technicy laboratoryjni przeprowadzili szczegółową analizę zabezpieczonego urządzenia skimmingowego, badając je od podstawowej konstrukcji mechanicznej po komponenty elektroniczne i nośniki danych. Zespół specjalistów od cyberprzestępczości zbadał zawartość pamięci urządzenia oraz sprawdził, czy urządzenie wykorzystywało jakiekolwiek formy łączności bezprzewodowej, takie jak Bluetooth lub Wi-Fi. **

Pytania w sprawie samego urządzenia skimmującego:

1. Technicy laboratoryjni rozebrali urządzenie na czynniki pierwsze, czy udało się zidentyfikować główny układ (mikrokontroler, procesor) i jego producenta? Jesli tak, to jakie oznaczenia widnieją na płytce, mogące wskazywać model elementów?
2. Przechodząc dalej zaczęli mocniej weryfikować całe urządzenie, czy w kodzie lub w jakichkolwiek układach wykryto funkcje szyfrujące, zabezpieczające bootloadera? 
3. W jaki sposób urządzenie transmituje dane na komputer mężczyzny? Czy ma moduł GSM z aktywną kartą sim - jeśli tak, to czy jest jakikolwiek ślad po nawiązywanych połączeniach, smsach lub transmisjach danych? Czy może urządzenie korzystało z sieci WiFi lub Bluetooth, jeśli tak to czy udało się wykryć nietypowe sieci lub jakieś parowania w pobliżu miejsca gdzie urządzenie zostało zamontowane?
4. Czy skimmer posiada czujniki aktywacji? Czy na płytce lub w samym oprogramowaniu do którego doszli technicy znajdują się elementy wskazujące na to, że urządzenie włączało się tylko podczas wkładania karty? Czy może jednak urządzenie chodziło cały czas transmitując dane?

Pytania dotyczące śladów pozostawionych w internecie:

1. W jaki sposób mężczyzna wystawił dane na sprzedaż? Czy śledczy byli w stanie wykryć oferty sprzedaży na forach hakerskich, darkwebie? Jaka platforma została użyta?
2. Jakie dane były oferowane? Czy sprzedawano numery kart, dane PIN, track data czy pełne pakiety danych użytkowników tzn. całe dane kart + dane osobowe.
3. Czy udało się ustalić czy ten użytkownik oferował także inne skradzione dane?
4. Jakie formy płatności za dane były akceptowane? Czy była to płatność kryptowalutą (BTC,XMR) czy innym sposobem? Czy są ślady portfela kryptowalutowego, który można prześledzić?

Pytania w sprawie ofiar:

1. Czy ofiary zostały jakkolwiek poinformowane o wycieku ich danych, jeśli nie to czy ofiary zaczęły zgłaszać znikające pieniądze, czy inne podejrzane transakcje które mogły zachodzić na ich kontach?

[.Bojownik]

1. Tak, technicy laboratoryjni mogli zidentyfikować układ. Na płytce PCB znajdował się mikrokontroler oznaczony jako STM32F103 od firmy STMicroelectronics. Oprócz niego wykryto kilka mniejszych komponentów odpowiedzialnych za komunikację oraz zapis danych.
2. Tak, analiza wykazała, że bootloader urządzenia był częściowo zabezpieczony prostym hasłem oraz podstawowym szyfrowaniem typu AES-128. Jednak zabezpieczenia były amatorskie i nie utrudniały głębszej analizy technicznej.
3. Urządzenie nie posiadało modułu GSM. Transmisja danych odbywała się za pomocą układu Bluetooth Low Energy (BLE). Śledczy wykryli nietypową sieć BLE działającą w pobliżu miejsca montażu, która została zidentyfikowana jako źródło skimmera. Urządzenie parowało się automatycznie z wcześniej sparowanym laptopem nieznajomego rowerzysty.
4. Tak. Skimmer wyposażony był w czujnik zbliżeniowy oparty o prosty mikrokontroler, który aktywował urządzenie dopiero w momencie włożenia karty płatniczej do bankomatu. Miało to na celu ograniczenie niepotrzebnego zużycia energii oraz zmniejszenie ryzyka wykrycia.

/Pytania dotyczące śladów pozostawionych w internecie/

1. Dane były wystawiane na sprzedaż na zamkniętym forum w darknecie —  dostępnym poprzez zdecentralizowaną sieć I2P (Invisible Internet Project), która znacząco utrudniała wykrycie użytkowników i serwera. Jeśli faktycznie śledczym by się udało w jakiś sposób dotrzeć na owe forum, mogliby natrafić na forum noszące nazwę "White House Market"
2. Sprzedawano kompletne pakiety zawierające: numery kart kredytowych (track 1 i track 2), kody CVV oraz PIN-y. W części przypadków były też dostępne dane osobowe właścicieli kart.
3. Nie wykryto bezpośrednich dowodów na sprzedaż innych danych. 
4. Płatności przyjmowano wyłącznie w kryptowalutach: głównie Bitcoin (BTC) oraz Monero (XMR). Bitcoinowe transakcje były dodatkowo przepuszczane przez zaawansowane miksery typu CoinJoin, a część środków została wymieniona na Monero, co praktycznie uniemożliwiło prześledzenie przepływu środków. Monero, jako kryptowaluta z natywną funkcją ukrywania transakcji, nie pozwoliła śledczym na ustalenie końcowych odbiorców.

Pytania w sprawie ofiar; 

1. Zaledwie kilka dni, po dokonaniu przestępstwa przez nieznajomego rowerzystę, kilka osób zaczęło zgłaszać do banków nieautoryzowane transakcje, co ostatecznie utwierdziło działania skimmera. Kwota na jaką zostali "zrabowani" to ok. $330.000

(( Na więcej pytań odpowiem jutro, lecę do pracy - pozdro ))

[gravgor]

1. Czy technicy byli w stanie przechwycić identyfikator MAC laptopa, z którym parowało się urządzenie? Czy ten MAC był zarejestrowany w jakichkolwiek publicznych sieciach WiFi lub infrastrukturze miejskiej? Jeśli MAC został przechwycony to śledczym pewnie udało się zidentyfikować kto jest producentem sprzętu poprzez OUI, więc kto w takim wypadku jest producentem laptopa?
2. Czy w momencie zdarzenia lub przed zarejestrowano inne urządzenia Bluetooth w pobliżu stacji które również mogły się parować lub były aktywne? Czy udało się wychwycić inne BLE z tym samym laptopem?

[.Bojownik]

1. Przeanalizowane logi z urządzenia skimmującego nie zawierały pełnego identyfikatora MAC, ponieważ połączenie BLE było tymczasowe i maskowane — najprawdopodobniej zastosowano funkcję tzw. losowego MAC-a rotacyjnego, co znacznie utrudniło jego identyfikację. Dodatkowo, laptop nigdy nie łączył się z publicznymi hotspotami ani miejską infrastrukturą WiFi, przez co nie został zarejestrowany w żadnym znanym systemie monitoringu.
W wyniku analizy OUI (Organizationally Unique Identifier), można ustalić, że potencjalny producent modułu Bluetooth to Broadcom, ale jest to dostawca układów w wielu różnych modelach laptopów — brak możliwości dalszego zawężenia bez dokładniejszego ID.
2. Rejestry z monitoringu Bluetooth w okolicy wykazały obecność kilku innych urządzeń BLE — m.in. zegarków typu smartwatch oraz systemów audio samochodowego — jednak żadne z nich nie wykazywało aktywnego parowania z urządzeniem skimmującym.
Co więcej, parowanie między skimmerem a laptopem odbywało się w trybie direct broadcast, bez zapisu trwałych danych — nie udało się zatem powiązać innych urządzeń BLE z tym samym komputerem. 

[gravgor]

**Technicy zaczęli grzebać głębiej przy samym skimmerze, rozpoczęli testy w środowisku kontrolowanym.**

1. Podczas testów w tymże środowisku, czy skimmer w jakikolwiek sposób próbował automatycznie nawiązać połączenie z wcześniej sparowanym urządzeniem? Jeśli tak to jakie UUID, aliasy lub inne dane identyfikacyjne mogły pojawić się w tym procesie parowania?
2. Czy podczas próby uruchomienia skimmera udało się przechwycić jakąkolwiek próbę transmisji danych? Jeśli tak, to jaki był format, struktura oraz stopień zaszyfrowania danych i czy zawierały informacje które mogły zidentyfikować środowisko źródłowe?
3. Czy podczas uruchamiania urządzenia w kontrolowanym środowisku pojawiły się jakiekolwiek opóźnienia, nieoczekiwane przerwy lub wzorce zachowania?
4. Czy technicy wykryli w firmware urządzenia do skimmowania jakiekolwiek logi debugowania lub komentarze wewnątrz kodu? Jeśli tak na co mogły wskazywać?

[.Bojownik]

1. Tak, podczas uruchomienia w warunkach kontrolowanych urządzenie wykazało próbę automatycznego połączenia BLE z uprzednio zapamiętanym adresem. Jednak ze względu na zastosowanie tzw. randomizowanego UUID i dynamicznych aliasów (co jest zgodne ze standardem BLE Privacy v1.2), dane te nie były jednoznaczne. UUID miały postać niestandardowych, generowanych dynamicznie tokenów — bez zgodnego klucza po stronie urządzenia źródłowego nie można ich zdeszyfrować ani przypisać do konkretnego urządzenia.

2. W kontrolowanym środowisku udało się przechwycić zaszyfrowany strumień danych przesyłanych przy użyciu własnego protokołu komunikacyjnego opartego o AES-128 w trybie CBC. Dane miały format binarny, z nagłówkiem 0xC3A9 i kodowaniem pakietów podobnym do zbuforowanego systemu FIFO. Z uwagi na brak klucza deszyfrującego oraz fakt, że dane nie zawierały żadnych jawnych nagłówków, śledczym nie udało się zidentyfikować środowiska źródłowego ani struktury logicznej danych.

3. Analiza firmware wykazała obecność kilku ogólnych logów debugowania init OK, recv_buffer full,  jednak nie odnaleziono żadnych komentarzy, nazw zmiennych, aliasów, ani pseudonimów mogących wskazywać na tożsamość twórcy. Komentarze zostały najprawdopodobniej usunięte przed kompilacją lub firmware został wygenerowany automatycznie  przy użyciu frameworków open-source, co dodatkowo utrudnia identyfikację.

4. Urządzenie wykazywało niewielkie opóźnienia inicjalizacji — około 2,7 sekundy od momentu zasilenia do pełnej aktywności. Jest to jednak zgodne z parametrami działania układów STM32 z zaawansowanymi bibliotekami I/O. Nie zaobserwowano żadnych nietypowych wzorców, które mogłyby sugerować awarię, zdalne sterowanie lub niestandardową aktywność.

5. Logi debugowania były bardzo ogólne i nie zawierały żadnych identyfikatorów przypisanych do użytkownika, lokalizacji, czy komputera źródłowego. Wszystkie odniesienia były czysto funkcjonalne i ograniczały się do komunikatów systemowych.
Jest prawdopodobne, że firmware był celowo pozbawiony danych identyfikacyjnych, by minimalizować ryzyko powiązania z konkretną osobą.

(( jeśli pojawia się jakieś nowe pytania, odpowiem na nie jutro ))

Edytowane 29 Kwietnia 2025 przez .Bojownik