ПИН-код обычно требуется на кассе при оплате крупных сумм кредитной картой. Исследователи ETH обнаружили уязвимость в системе безопасности некоторых кредитных карт.
Более крупные суммы можно списать только с кредитных карт с ПИН-кодом. Но с некоторыми картами эту защиту можно обойти.
Кредитные карты, позволяющие осуществлять бесконтактные платежи, чрезвычайно популярны. Небольшие суммы можно быстро и легко снять на кассе, а карты считаются безопасными, поскольку для списания больших сумм требуется код безопасности.
Большинство этих транзакций основаны на стандарте EMV, который применяется к более чем девяти миллиардам карт по всему миру. Стандарт был разработан в 1990-х годах тремя крупными компаниями Europay, Mastercard и Visa (отсюда и аббревиатура EMV). Хотя с тех пор он несколько раз пересматривался, в сложном наборе правил есть несколько уязвимостей, которыми можно воспользоваться.
Систематический поиск слабых мест
Поскольку другие специалисты по безопасности уже обнаружили ошибки в стандарте, ученые из ETH Zurich сообщили о дополнительной серьезной лазейке в безопасности. Исследователи ETH представят свои выводы, которые в настоящее время доступны в виде препринта, на симпозиуме IEEE по безопасности и конфиденциальности в 2024 году.
В качестве первого шага профессор информационной безопасности Дэвид Бэйсин объединился с Ральфом Сассе, старшим научным сотрудником кафедры компьютерных наук, и Хорхе Торо Посо, постдоком в группе Басина, чтобы разработать специально разработанную модель, чтобы они могли более детально изучить ситуацию. посмотрите на центральные элементы стандарта EMV. Они обнаружили критическую брешь в протоколе, используемом компанией Visa, выпускающей кредитные карты.
Эта уязвимость позволяет мошенникам получать средства с утерянных или украденных карт, хотя суммы должны быть проверены путем ввода PIN-кода. Торо формулирует это в двух словах: «По сути, PIN-код здесь неэффективен». Другие компании, такие как Mastercard, American Express и JCB, не используют тот же протокол, что и Visa, поэтому на эти карты не влияет лазейка безопасности. Однако этот недостаток может также распространяться на карты, выпущенные Discover и UnionPay, которые используют протокол, аналогичный протоколу Visa.
Имитация авторизации
Исследователям удалось продемонстрировать, что эксплуатировать уязвимость на практике возможно , хотя это достаточно сложный процесс. Сначала они разработали приложение для Android и установили его на два мобильных телефона с поддержкой NFC. Это позволило двум устройствам считывать данные с чипа кредитной карты и обмениваться информацией с платежными терминалами. Кстати, для установки приложения исследователям не пришлось обходить какие-либо специальные функции безопасности операционной системы Android.
Для получения несанкционированных средств со сторонней кредитной карты первый мобильный телефон сканирует необходимые данные с кредитной карты и передает их на второй телефон. Затем второй телефон используется для одновременного списания суммы на кассе, как это делают сегодня многие держатели карт. Поскольку приложение заявляет, что клиент является авторизованным пользователем кредитной карты, продавец не осознает, что транзакция является мошеннической. Решающим фактором является то, что приложение перехитрило систему безопасности карты. Хотя сумма превышает лимит и требуется проверка PIN-кода, код не запрашивается.
Успешно пройдено испытание
Используя собственные кредитные карты в различных точках продаж, исследователи смогли показать, что схема мошенничества работает. «Мошенничество работает с дебетовыми и кредитными картами, выпущенными в разных странах и в разных валютах», — говорит Торо. Исследователи уже предупредили Visa об уязвимости, одновременно предложив конкретное решение. «В протокол необходимо внести три изменения, которые затем можно будет установить в платежные терминалы со следующим обновлением программного обеспечения», — объясняет Торо. «Это можно сделать с минимальными усилиями. Карты заменять не нужно, все изменения соответствуют стандарту EMV».
(с) https://ethz.ch/en/news-and-events/eth-news/news/2020/09/outsmarting-the-pin-code.html
Более крупные суммы можно списать только с кредитных карт с ПИН-кодом. Но с некоторыми картами эту защиту можно обойти.
Кредитные карты, позволяющие осуществлять бесконтактные платежи, чрезвычайно популярны. Небольшие суммы можно быстро и легко снять на кассе, а карты считаются безопасными, поскольку для списания больших сумм требуется код безопасности.
Большинство этих транзакций основаны на стандарте EMV, который применяется к более чем девяти миллиардам карт по всему миру. Стандарт был разработан в 1990-х годах тремя крупными компаниями Europay, Mastercard и Visa (отсюда и аббревиатура EMV). Хотя с тех пор он несколько раз пересматривался, в сложном наборе правил есть несколько уязвимостей, которыми можно воспользоваться.
Систематический поиск слабых мест
Поскольку другие специалисты по безопасности уже обнаружили ошибки в стандарте, ученые из ETH Zurich сообщили о дополнительной серьезной лазейке в безопасности. Исследователи ETH представят свои выводы, которые в настоящее время доступны в виде препринта, на симпозиуме IEEE по безопасности и конфиденциальности в 2024 году.
В качестве первого шага профессор информационной безопасности Дэвид Бэйсин объединился с Ральфом Сассе, старшим научным сотрудником кафедры компьютерных наук, и Хорхе Торо Посо, постдоком в группе Басина, чтобы разработать специально разработанную модель, чтобы они могли более детально изучить ситуацию. посмотрите на центральные элементы стандарта EMV. Они обнаружили критическую брешь в протоколе, используемом компанией Visa, выпускающей кредитные карты.
Эта уязвимость позволяет мошенникам получать средства с утерянных или украденных карт, хотя суммы должны быть проверены путем ввода PIN-кода. Торо формулирует это в двух словах: «По сути, PIN-код здесь неэффективен». Другие компании, такие как Mastercard, American Express и JCB, не используют тот же протокол, что и Visa, поэтому на эти карты не влияет лазейка безопасности. Однако этот недостаток может также распространяться на карты, выпущенные Discover и UnionPay, которые используют протокол, аналогичный протоколу Visa.
Имитация авторизации
Исследователям удалось продемонстрировать, что эксплуатировать уязвимость на практике возможно , хотя это достаточно сложный процесс. Сначала они разработали приложение для Android и установили его на два мобильных телефона с поддержкой NFC. Это позволило двум устройствам считывать данные с чипа кредитной карты и обмениваться информацией с платежными терминалами. Кстати, для установки приложения исследователям не пришлось обходить какие-либо специальные функции безопасности операционной системы Android.
Для получения несанкционированных средств со сторонней кредитной карты первый мобильный телефон сканирует необходимые данные с кредитной карты и передает их на второй телефон. Затем второй телефон используется для одновременного списания суммы на кассе, как это делают сегодня многие держатели карт. Поскольку приложение заявляет, что клиент является авторизованным пользователем кредитной карты, продавец не осознает, что транзакция является мошеннической. Решающим фактором является то, что приложение перехитрило систему безопасности карты. Хотя сумма превышает лимит и требуется проверка PIN-кода, код не запрашивается.
Успешно пройдено испытание
Используя собственные кредитные карты в различных точках продаж, исследователи смогли показать, что схема мошенничества работает. «Мошенничество работает с дебетовыми и кредитными картами, выпущенными в разных странах и в разных валютах», — говорит Торо. Исследователи уже предупредили Visa об уязвимости, одновременно предложив конкретное решение. «В протокол необходимо внести три изменения, которые затем можно будет установить в платежные терминалы со следующим обновлением программного обеспечения», — объясняет Торо. «Это можно сделать с минимальными усилиями. Карты заменять не нужно, все изменения соответствуют стандарту EMV».
(с) https://ethz.ch/en/news-and-events/eth-news/news/2020/09/outsmarting-the-pin-code.html
