[Перевод] Как второй чип позволяет хакерам обойти процесс верификации банковской карты
Когда Вы выбирали или меняли PIN-коды для Вашей кредитной карты и сотового телефона, то все сделали правильно: Вы избежали соблазна использовать год Вашего рождения, при этом выбрали разные коды для карты и телефона. Впрочем, эти меры предосторожности могут оказаться бесполезными, если кибер-преступник перехватил Вашу кредитную карту в торговой точке.
Стандартный процесс верификации для оплат дебетовыми или кредитными картами требует карту с интегрированным чипом и PIN-код. Однако группа исследователей из École Normale Supérieure (ENS) в Париже недавно опубликовала отчет, в котором они объяснили, как группа хакеров нашла способ обойти данную систему и сумела украсть 600 000 евро со взломанных карт. К счастью, хорошие новости – вскоре после этого они были арестованы.
Группа хакеров украла 40 кредитных карт, которые, якобы, должны были быть бесполезными в руках преступников в том случае, если они не знают PIN-коды этих карт. Однако преступники оказались «не лыком шиты» и модифицировали карты, добавив второй чип внутри карт, который невозможно было заметить при взгляде на карту.
Когда карту помещали в терминал оплаты (POS-терминал), они использовали уязвимость EMV и осуществляли атаку типа «man-in-the-middle», которая позволяла им перехватывать коммуникации между картой и системой.
В этот момент в игру вступал второй чип, который позволял хакерам завершать транзакцию с использованием любого PIN-кода. Такой способ оказался настолько простым, что они использовали его более 7000 раз.
Несмотря на то, что, по словам исследователей, данные уязвимости были исправлены, а мошенники арестованы, этот случай показал важность обращения в свой банк в случае кражи кошелька или потери своей банковской карты.
Более того, модификация карты – это не единственный способ, которым преступники могут воспользоваться, чтобы «обчистить» Вас в том случае, если карта окажется в их руках. Росс Андерсон, профессор по инжинирингу безопасности в Университете Кембриджа, уже много лет расследует, как хакеры могут заполучить контроль над кредитной картой, а недавно подытожил свои исследования, указав открытые возможности для кибер-преступников.
Некоторые из методов, которые кибер-преступники могли бы использовать, содержат копирование информации о карте с POS-терминала для отправки третьему лицу, передавая информацию чипа и PIN-код карты на магнитную полосу другой карты, или даже манипулируя POS-терминалом с целью перехвата карты во время транзакции и отправки информации на сотовый телефон.
Итак, что могут сделать пользователи сейчас, что они знают об этих уязвимостях? На самом деле, не так много они могут сделать, т.к. большинство таких афер используют недостатки стандартных POS-терминалов. Это означает, что производители банковских карт и сами банки должны сделать так, чтобы транзакции были максимально безопасными.
Среди рекомендаций можно отметить следующие: использовать банковскую карту для оплаты только в тех торговых точках, которым Вы доверяете, не держать все свои сбережения на одном и том же счету, периодически проверять состояние своих счетов, чтобы удостовериться в отсутствии подозрительных транзакций.
Знания об уязвимостях кредитных карт могут также помочь нам выбрать другие альтернативные варианты, например, карты со сканерами отпечатков пальцев. Этот способ защиты позволяет серьезно защитить себя от кибер-преступников.
За последний год MasterCard представил первую карту со сканером отпечатков пальцев, изготовленную в сотрудничестве с норвежским стартапом Zwipe. Мы также были свидетелями того, как крупные производители кредитных карт заявляли, что они будут экспериментировать с технологией распознавания лиц для онлайн-заказов.
Такое развитие технологий может способствовать отказу от традиционных паролей в ближайшие несколько лет, что могло бы стать решением проблем с уязвимостями чипов и PIN-кодов карт. В то же самое время, лучшее, что можно сделать сейчас, — это быть в курсе рисков, с которыми мы можем столкнуться при использовании банковских карт.