Проблеми със сигурността при чип картите

09 август 2016 г., 11:20
1237

scyther5 / Shutterstock

Забравете за сигурността на новите кредитни карти с чипове, така широко рекламирани от банките. Те са също толкова лесни за клониране, колкото и предишните карти с магнитна лента.

Изследователи са разработили прост хак за чипа и пина на картата, за да изтеглят 50 000 долара в брой от банкомат в САЩ за само 15 минути.

Всички си спомняме рекламите на EMV картите (Europay, MasterCard и Visa) с чип, които твърдяха, че новата технология осигурява допълнително ниво на сигурност, което прави тези карти много по-сигурни и трудни за клониране от старите магнитни карти.

Това обаче се оказва мит.

Екипът от инженери по сигурността на Rapid7 по време на известната хакерска конференция Black Hat, проведена в Лас Вегас през 2016 демонстрираха как малки и прости модификации на оборудването може да позволи на хакерите да “заобиколят” Чип-и-Пин  защитата на картата и да разрешат неоторизирани транзакции.

Демонстрацията е била част от тяхната презентация, озаглавена “Да хакнем банкоматите от следващо поколение: От прихващането до изпирането”. Оригиналният PDF на презентацията може да се изтегли от официалния сайт на конференцията.

Презентацията на екипа достигна върховата си точка, когато те показаха на публиката ATM машина, която бълва стотици долари в кеш.

Ето как работи хакът в детайли. Необходими са две основни операции.

Първи, хакерите трябва да добавят малко устройство, което се нарича Shimmer към ПОС или ATM терминал, който представлява четец на картите, за да изпълнят известната атака на Посредника (или Man in the Middle Attack, MITM).

Устройството се намира между чипа на картата на жертвата и четеца на карти (в случая в ATM терминала), който записва данните от чипа, включително и набраният ПИН код на жертвата, докато ATM-ът ги прочита. След това устройството предава тези данни на хакерите.

След това хакерите използват смарфон за да свалят откраднатите данни и да “пресъздадат” картата на жертвата в ATM, като го инструктират да “бълва” кеш непрекъснато.

Тод Биърдсли, мениджър по сигурността в Rapid7, каза пред BBC, че реално устройството представлява модифициран миниатюрен Raspberry-Pi компютър, който може бързо да бъде инсталиран отвън на ATM машините без да се налага осигуряването на труден достъп до вътрешните части на машината.

“Всъщност представлява само една карта, която може да се представи за чип,” казва Биърдсли, “дори не е клониране.”

Принципно хакерите могат да репликират всяка от картите само за няколко минути, което ще им позволи да изтеглят до около максимум 50 000 долара, но Биърдсли прогнозира, че една мрежа от хакнати чип-и-пин машини ще може да създаде постоянен поток от жертви.

Изследователите са разкрили всички детайли по хака на банките и производителите на АТМ машини и се надяват, че компаниите ще вземат бързи мерки за отстраняването на проблема. 

 

Източник: Hacker News

Ключови думи:
Коментари