Є два типи банківських карт - старіші, з магнітною смугою, і новіші і безпечні, з чіпом. Нові технології в банківській сфері впроваджуються не так вже швидко, а в деяких країнах - так і зовсім повільно, так що картки з чіпом поширювалися повільно. Наприклад, в США до недавнього часу продовжували по-старому користуватися картками з магнітною смугою - і перейшли на чіпові карти лише пару років тому.
Проблема карт із магнітною смугою полягає в тому, що вся інформація, необхідна для оплати, зберігається на них у відкритому вигляді - тому її дуже легко вкрасти і записати на іншу карту. У чіпі все більш надійно - там використовується криптографія.
З переходом на картки з чіпом багатьом здавалося, що такий кримінальний бізнес, як клонування кредиток, нарешті скоро кане в Лету. Але не тут-то було: на конференції Security Analyst Summit 2018 наші дослідники виступили з доповіддю про бразильської угруповання, яке навчилася красти дані про карти з чіпом і цілком успішно їх клонувати. У цьому пості ми постараємося максимально коротко і просто викласти суть їх дослідження.
Почалася ця історія з того, що, наші експерти вивчали зловредів, які бразильська угруповання Prilex використовувала для злому банкоматів. У процесі вивчення вони виявили модифіковану версію такого зловреда, призначену для роботи на платіжних терміналах - тих самих коробочках, в які ви вставляєте карту і на яких набираєте ПІН-код при покупці в магазині.
Ця версія зловреда змінювала бібліотеки програмного забезпечення терміналів так, що зловмисники могли перехоплювати дані, які термінал отримував від карти і відправляв в банк. Тобто, умовно, варто було вам один раз розплатитися карткою в магазині із зараженим терміналом - і все, дані вашої карти вже є у злочинців.
Однак отримати дані - це півсправи. Для того щоб вкрасти ваші гроші, потрібно виготовити копію вашої картки, прописавши в неї вкрадені дані. У випадку з чіповими картами це не так-то просто зробити - за що спасибі власне чіпу і численним процедурам аутентифікації , Які передбачені стандартом EMV.
Однак угруповання Prilex вдалося це реалізувати: зловмисники побудували цілу інфраструктуру, яка дозволяла їх «клієнтам» з легкістю створювати клоновані карти, хоча в теорії це ніби як повинно бути неможливо.
Для того щоб зрозуміти, як у них це вийшло, пропонуємо спершу дуже коротко познайомитися зі стандартом EMV , Тобто з тим, як влаштовані картки з чіпом.
Як працюють банківські картки з чіпом
Чіп на картці - це не просто мікросхема флеш-пам'яті. Насправді це маленький комп'ютер, що дозволяє запускати додатки. Коли ви вставляєте карту з чіпом в термінал, відбувається ось що:
Насамперед починається ініціалізація. На цьому етапі термінал отримує основні відомості про карту, такі як ім'я власника, термін дії і так далі, а також перелік програм, які є на карті.
Далі йде опціональний етап аутентифікації даних. На цьому етапі за допомогою криптографічних алгоритмів термінал засвідчується, що карта справжня. Однак відповідно до стандарту цей етап не є обов'язковим - тобто його можна пропустити.
Наступний етап теж не обов'язковий - це верифікація власника. Тобто термінал повинен переконатися, що людина, який вмонтував карту - це її справжній власник. Для цього людина повинна або ввести PIN-код, або розписатися на чеку - в залежності від того, як карта запрограмована.
Нарешті, наступний етап - це власне транзакція, тобто переказ грошей.
Ще раз звертаємо вашу увагу: обов'язковими є тільки перший і четвертий етапи, а другий і третій - опціональні. Цим-то і скористалися бразильські шахраї.
Картка на все згодна
Отже, умови задачі: картка вміє запускати додатки і при спілкуванні з терміналом насамперед повідомляє йому інформацію про себе і список доступних додатків. Кількість етапів при здійсненні платежу визначається терміналом і картою.
Рішення: бразильці написали для карти Java-додаток, що робить, по суті, дві речі. По-перше, воно повідомляє платіжного терміналу, що проводити аутентифікацію даних, тобто другий етап, не потрібно. Тобто ніякої криптографії далі не використовується, що істотно спрощує завдання.
Залишається етап верифікації власника за допомогою PIN-коду. Але стандартом передбачені різні варіанти підтвердження Піна, і в тому числі такий, коли правильність його введення підтверджує ... власне, сама карта. А точніше, встановлене на ній додаток.
Злочинці написали такий додаток, яке на питання про те, чи правильно введено PIN, завжди відповідає терміналу «так-так, все відмінно». Тобто зловмисник з клонованої картою може ввести на терміналі чотири абсолютно випадкові цифри - і ці цифри будуть прийняті як правильний PIN.
Шахрайство з картами як послуга
Інфраструктура, створена угрупованням Prilex, включає в себе описане вище Java-додаток, клієнтську програму під назвою «Daphne», за допомогою якої можна перезаписувати смарт-карти, і власне базу крадених даних карт, що лежить у них на сервері.
«Клієнтам» пропонується купити такий собі «комплект початківця зловмисника» з Java-додатка, програми «Daphne» і якоїсь кількості даних про карти. Придбати пристрій для запису карт і чисті смарт-карти можна абсолютно легально за лічені десятки доларів. Не важливо, кредитна карта або дебетова - «Daphne» дозволяє клонувати будь-які.
висновок
Prilex діє тільки на території Бразилії і сусідніх з нею країн, але подумати про безпеку своїх фінансів краще не тільки бразильцям. Ось кілька порад, пішовши яким, ви знизите ризик постраждати від рук шахраїв:
- Слідкуйте за рухом коштів по рахунку - або через повідомлення в мобільному додатку, або за допомогою SMS. Як тільки бачите якісь підозрілі витрати - тут же телефонуйте в банк і терміново блокуйте карту.
- У міру можливості користуйтеся AndroidPay або ApplePay. Обидві ці системи не передають дані вашої карти терміналу, тому їх можна вважати більш безпечними, ніж звичайні платежі по карті, коли ви вставляєте її в термінал.
- Заведіть окрему карту для покупок в Інтернеті. Шанс того, що її дані куди-небудь витечуть, помітно більше, ніж у випадку тих карт, якими ви розраховуєтесь тільки в офлайн-магазинах. Так що на цій карті не варто зберігати більше суми.
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.