Рик Фергюсон (Rik Ferguson) из компании Trend Micro опубликовал в четверг на блоге хорошую статью о крупном недостатке в программах верификации операций с кредитными картами, поддерживаемых компаниями MasterCard и Visa. Возможно, существование лазейки, которую описал Фергюсон, кого-то и расстроит, но мошенники, специализирующиеся на краже кредитных карт и использовании их в онлайновых покупках, используют эту лазейку уже годы и годы.
Все дело в протоколе безопасности, именуемом «3 Domain Secure» (3DS), программе, предназначенной для защиты от онлайновых мошенничеств и для переноса ответственности за потери от мошенничеств с онлайнового продавца на банк, выпустивший кредитную карту. Компания Visa представила эту программу в 2001 году под маркой «Verified by Visa» (Проверено Visa), а у компании MasterCard сходная программа была названа «SecureCode».
Для того, чтобы зарегистрироваться, вам необходимо удостоверить свою личность, ответив на контрольные вопросы…
Картодержатели, изъявившие желание участвовать в этих программах, могли зарегистрировать свои карточки, введя номер карточки, почтовый код и дату рождения, а также выбрав секретный код. Когда картодержателю предстояло использовать карту для расчетов с онлайновым продавцом, использующим протокол 3DS, покупатель вводил код, который верифицировался банком-эмитентом, но при этом никаким образом не попадал на сайт продавца.
Но, как замечает Фергюсон, люди есть люди, и им свойственно забывать пароли и секретные коды, и именно функция сброса забытого пароля полностью сводит на нет всю безопасность, обеспечиваемую программами Verified by Visa и SecureCode. Из его блога:
«Что делать преступнику, который получил доступ к данным вашей карты, но не знает пароль? Конечно, самое удобное для него, щелкнуть на ссылке «I forgot my password» (Я забыл пароль). Посмотрим теперь, что произойдет дальше».
Если вы забыли свой пароль, вам необходимо задать новый пароль. Пожалуйста, введите информацию, удостоверяющую вашу личность. Последние три цифры номера на обороте карты…Срок действия карты… Имя, вытисненное на карте… Дата рождения…
Первый шаг в процедуре сброса пароля состоит в том, что вы вводите номер карточки, очевидно для того, чтобы гарантировать, что вы сбрасываете пароль для правильного счета. После того как этот номер будет введен, система запросит некоторые подтверждающие данные, чтобы убедиться, что вы законный владелец счета, и эту фазу, «фазу идентификации» стоит рассмотреть
«Ну нет, это никуда не годится!!! Три из четырех элементов информации, которые удостоверяют мою личность, содержатся на самой карточке, вытисненные или напечатанные на поверхности, или записанные на магнитной полоске. Но разве преступник уже не имеет ко всему этому доступ? Только один элемент информации карточка не содержит. Проблема в том, что эта информация широко доступна в социальных сетях, регистрационных данных на сайтах и в миллионе других мест. Мы не можем и не должны считать секретной такую информацию, как дата рождения».
«После ввода требуемой информации, вам остается только задать новый пароль - и теперь вы можете авторизовать транзакцию. Хуже того - не предусмотрено никакого оповещения владельца счета о том, что пароль изменен. Владельцу ничего знать не нужно, пока он не станет проверять выписку по своему счету».
Вся беда в том, что кибер-ворам все эти тонкости известны давно и хорошо. Когда я прочел статью на блоге Trend, я кое-что припомнил и начал искать старые снимки экрана, которые я сделал больше двух лет назад на одном подпольном форуме «карточников» - carder.market, речь идет об инструкциях, выложенных администратором форума - это было в Хеллоуин 2009 года:
Что это такое?
Существуют системы, созданные Visa и MasterCard для верификации онлайновых транзакций.
Как они работают?
При попытке выполнения транзакции в пользу онлайнового магазина или любой другой системы, принимающей платежи по кредитным картам, если она связана с системой верификации (а число таких магазинов и систем увеличивается каждый день, и обозначаются они логотипами VBV и MCSC на главной странице сайта), появляется предложение ввести пароль для транзакции или активировать одну из систем верификации - VBV или MCSC.
Как активируются эти системы?
По ссылкам
http://usa.visa.com/personal/security/vbv/index.html
и
http://www.mastercard.com/securecd/welcome.do
Вы вводите номер карты и отвечаете на вопросы. Как правило, вопросы включают в себя номер социального страхования, дату рождения, код безопасности карты, почтовый индекс, иногда девичью фамилию матери. После ответа на эти вопросы вам разрешается установить пароль для транзакции.
Что делать в случае, когда система VBV или MCSC уже активирована?
Если вам предлагается вести уже установленный пароль транзакции, который вы не знаете, необходимо щелкнуть на ссылке «Forget Password?» (Забыли пароль?). Затем вы пройдете стандартную процедуру восстановления пароля, в которую входят те же самые вопросы, что и для активации VBV или MCSC.
Имеет ли для карточников ценность карта с активированной системой верификации, VBV или MCSC?
Да, безусловно. При необходимости можно восстановить пароль на транзакцию.
Что выигрывает карточник от систем VBV и MCSC?
При вводе пароля на транзакцию ответственность за мошенничество лежит не на магазине, а на банке. Следовательно, при активированной системе VBV или MCSC любая торговая система сокращает меры безопасности против мошенничеств и пропускает платеж.
источн:http://www.rusecurity.com/2011/12/02/lazeyki-v-sistemah-verifikatsii-verified-by-visa-i-securecode/
Все дело в протоколе безопасности, именуемом «3 Domain Secure» (3DS), программе, предназначенной для защиты от онлайновых мошенничеств и для переноса ответственности за потери от мошенничеств с онлайнового продавца на банк, выпустивший кредитную карту. Компания Visa представила эту программу в 2001 году под маркой «Verified by Visa» (Проверено Visa), а у компании MasterCard сходная программа была названа «SecureCode».
Для того, чтобы зарегистрироваться, вам необходимо удостоверить свою личность, ответив на контрольные вопросы…
Картодержатели, изъявившие желание участвовать в этих программах, могли зарегистрировать свои карточки, введя номер карточки, почтовый код и дату рождения, а также выбрав секретный код. Когда картодержателю предстояло использовать карту для расчетов с онлайновым продавцом, использующим протокол 3DS, покупатель вводил код, который верифицировался банком-эмитентом, но при этом никаким образом не попадал на сайт продавца.
Но, как замечает Фергюсон, люди есть люди, и им свойственно забывать пароли и секретные коды, и именно функция сброса забытого пароля полностью сводит на нет всю безопасность, обеспечиваемую программами Verified by Visa и SecureCode. Из его блога:
«Что делать преступнику, который получил доступ к данным вашей карты, но не знает пароль? Конечно, самое удобное для него, щелкнуть на ссылке «I forgot my password» (Я забыл пароль). Посмотрим теперь, что произойдет дальше».
Если вы забыли свой пароль, вам необходимо задать новый пароль. Пожалуйста, введите информацию, удостоверяющую вашу личность. Последние три цифры номера на обороте карты…Срок действия карты… Имя, вытисненное на карте… Дата рождения…
Первый шаг в процедуре сброса пароля состоит в том, что вы вводите номер карточки, очевидно для того, чтобы гарантировать, что вы сбрасываете пароль для правильного счета. После того как этот номер будет введен, система запросит некоторые подтверждающие данные, чтобы убедиться, что вы законный владелец счета, и эту фазу, «фазу идентификации» стоит рассмотреть
«Ну нет, это никуда не годится!!! Три из четырех элементов информации, которые удостоверяют мою личность, содержатся на самой карточке, вытисненные или напечатанные на поверхности, или записанные на магнитной полоске. Но разве преступник уже не имеет ко всему этому доступ? Только один элемент информации карточка не содержит. Проблема в том, что эта информация широко доступна в социальных сетях, регистрационных данных на сайтах и в миллионе других мест. Мы не можем и не должны считать секретной такую информацию, как дата рождения».
«После ввода требуемой информации, вам остается только задать новый пароль - и теперь вы можете авторизовать транзакцию. Хуже того - не предусмотрено никакого оповещения владельца счета о том, что пароль изменен. Владельцу ничего знать не нужно, пока он не станет проверять выписку по своему счету».
Вся беда в том, что кибер-ворам все эти тонкости известны давно и хорошо. Когда я прочел статью на блоге Trend, я кое-что припомнил и начал искать старые снимки экрана, которые я сделал больше двух лет назад на одном подпольном форуме «карточников» - carder.market, речь идет об инструкциях, выложенных администратором форума - это было в Хеллоуин 2009 года:
Что это такое?
Существуют системы, созданные Visa и MasterCard для верификации онлайновых транзакций.
Как они работают?
При попытке выполнения транзакции в пользу онлайнового магазина или любой другой системы, принимающей платежи по кредитным картам, если она связана с системой верификации (а число таких магазинов и систем увеличивается каждый день, и обозначаются они логотипами VBV и MCSC на главной странице сайта), появляется предложение ввести пароль для транзакции или активировать одну из систем верификации - VBV или MCSC.
Как активируются эти системы?
По ссылкам
http://usa.visa.com/personal/security/vbv/index.html
и
http://www.mastercard.com/securecd/welcome.do
Вы вводите номер карты и отвечаете на вопросы. Как правило, вопросы включают в себя номер социального страхования, дату рождения, код безопасности карты, почтовый индекс, иногда девичью фамилию матери. После ответа на эти вопросы вам разрешается установить пароль для транзакции.
Что делать в случае, когда система VBV или MCSC уже активирована?
Если вам предлагается вести уже установленный пароль транзакции, который вы не знаете, необходимо щелкнуть на ссылке «Forget Password?» (Забыли пароль?). Затем вы пройдете стандартную процедуру восстановления пароля, в которую входят те же самые вопросы, что и для активации VBV или MCSC.
Имеет ли для карточников ценность карта с активированной системой верификации, VBV или MCSC?
Да, безусловно. При необходимости можно восстановить пароль на транзакцию.
Что выигрывает карточник от систем VBV и MCSC?
При вводе пароля на транзакцию ответственность за мошенничество лежит не на магазине, а на банке. Следовательно, при активированной системе VBV или MCSC любая торговая система сокращает меры безопасности против мошенничеств и пропускает платеж.
источн:http://www.rusecurity.com/2011/12/02/lazeyki-v-sistemah-verifikatsii-verified-by-visa-i-securecode/
Last edited:
