Перехитрити PIN-код

ПІН-код зазвичай потрібен під час оплати, коли ви сплачуєте великі суми кредитною карткою. Зараз дослідники ETH виявили ваду в системі безпеки деяких кредитних карток.

Кредитні картки, що дозволяють здійснювати безконтактні платежі, надзвичайно популярні. Невеликі суми можна швидко та легко стягнути з каси, а картки вважаються безпечними, оскільки для списання великих сум потрібен код безпеки.

Більшість цих транзакцій базуються на стандарті EMV, який застосовується до понад дев'яти мільярдів карток у всьому світі. Стандарт був розроблений у 1990-х роках трьома великими компаніями Europay, Mastercard та Visa (звідси абревіатура EMV). З тих пір він був переглянутий кілька разів, але складний набір правил має кілька вразливих місць, якими можна скористатися.

Систематичний пошук слабких місць

В той час, як інші спеціалісти з безпеки вже знайшли помилки в стандарті, вчені з ETH Цюріх зараз повідомили про додаткову, серйозну лазівку в галузі безпеки. Дослідники ETH представлять свої висновки, які зараз доступні як препринт, на симпозіумі IEEE з питань безпеки та конфіденційності у 2021 році.

Першим кроком професор інформаційної безпеки Девід Бесін спільно з Ральфом Сассе, старшим науковцем кафедри комп’ютерних наук, та Хорхе Торо Позо, постдоктором групи Бесіна, розробили спеціально побудовану модель, щоб вони могли ближче підійти подивіться на центральні елементи стандарту EMV. Вони виявили критичну прогалину в протоколі, що використовується компанією Visa, що займається кредитними картками.

Ця вразливість дозволяє шахраям отримувати кошти з карт, які були втрачені або викрадені, хоча суми, як передбачається, підтверджуються шляхом введення PIN-коду. Торо коротко говорить: "Для всіх цілей і цілей PIN-код тут неефективний". Інші компанії, такі як Mastercard, American Express та JCB, не використовують той самий протокол, що і Visa, тому на ці картки не впливає лазівка ​​безпеки. Однак недолік може стосуватися і карток, виданих Discover і UnionPay, які використовують протокол, подібний до Visa.

Модельована авторизація

Дослідники змогли продемонструвати, що вразливість можна використати на практиці, хоча це досить складний процес. Спочатку вони розробили додаток для Android та встановили його на двох мобільних телефонах із підтримкою NFC. Це дозволило цим пристроям зчитувати дані з мікросхеми кредитної картки та обмінюватися інформацією з платіжними терміналами. До речі, дослідникам не довелося обійти будь-які спеціальні функції безпеки в операційній системі Android, щоб встановити програму.

Для отримання несанкціонованих коштів із сторонніх кредитних карток перший мобільний телефон використовується для сканування необхідних даних із кредитної картки та передачі їх на другий телефон. Потім другий телефон використовується для одночасного списання суми на касі, як це роблять сьогодні багато власників карток. Оскільки додаток заявляє, що клієнт є авторизованим користувачем кредитної картки, постачальник не усвідомлює, що транзакція є шахрайською. Вирішальним фактором є те, що додаток перехитрить систему безпеки картки. Хоча сума перевищує ліміт і вимагає підтвердження PIN-кодом, код не вимагається.

Успішно випробувано

Використовуючи власні кредитні картки в різних точках продажу, дослідники змогли показати, що схема шахрайства працює. "Шахрайство працює з дебетовими та кредитними картками, випущеними в різних країнах у різних валютах", — говорить Торо. Дослідники вже попереджали Visa про вразливість, одночасно пропонуючи конкретне рішення. "У протокол слід внести три зміни, які потім можна буде встановити в платіжні термінали з наступним оновленням програмного забезпечення", — пояснює Торо. "Це можна зробити з мінімальними зусиллями. Немає необхідності замінювати картки, і всі зміни відповідають стандарту EMV".

Facebook Comments