Банковская индустрия тратит много сил, времени и средств на то, чтобы платежными картами мог воспользоваться только их законный владелец. Когда-то защита карты состояла в основном из рельефных цифр и места для образца подписи, но со временем на стражу ваших денег стали защитные коды и умные микросхемы.
Карты с чипом (стандарта EMV) считаются очень безопасными, но злоумышленники уже «пробуют их на зуб». К счастью, этим заняты не только они — исследователи тоже ищут и находят недочеты в оборудовании и архитектуре платежных систем, чтобы заранее уведомить производителя и помочь залатать все дыры.
Сразу два разных исследования по этой теме, представленных на хакерской конференции Black Hat в Лас-Вегасе, вселяют одновременно и тревогу, и надежду: украсть деньги можно, но защита есть.
Два сотрудника компании NCR, производящей платежные терминалы и банкоматы, продемонстрировали атаку на терминалы, обычно используемые в магазинах и на заправках. С помощью крошечного дешевого компьютера Raspberry PI они вклинились в общение основного компьютера (грубо говоря, кассы) и платежного модуля (грубо говоря, панели ввода PIN-кода).
Вообще-то обмен данными между ними должен быть хорошо зашифрован, но зачастую систему настраивают неправильно и применяется устаревшее, нестойкое шифрование. В результате становится возможна атака «человек посередине»: хакеры могут перехватить данные, которыми обмениваются платежный модуль и основное устройство, и расшифровать их.
Банки VS банковские троянцы – битва века: как зловреды обходят двухфакторную аутентификацию https://t.co/7h8GVfWVTu pic.twitter.com/Iba5l1xa7B
— Kaspersky (@Kaspersky_ru) June 10, 2016
Это, правда, не отменяет фундаментальную защиту чипованной карты: некоторые данные, такие как PIN-код, шифруются на самом чипе и никогда не передаются в открытом виде. Но атакующий может получить другую информацию, например хранящийся в чипе дубликат данных, обычно записываемых на магнитной полосе.
Благодаря этому можно узнать имя владельца и номер карты, а потом использовать полученные данные для онлайн-платежей по чужой карте. Правда, тогда потребуется еще защитный код с оборота карты, который при обычном обмене данными никак не передается. Но тут злодеям может помочь вот какой трюк.
Платежные терминалы помимо стандартных команд «Вставьте карту» и «Введите PIN-код» умеют выводить дополнительные. Технически подкованным злоумышленникам вполне по силам добавить в сценарий диалога с покупателем дополнительный экран «Введите CVV2» (или CVC2 — тот самый код с обратной стороны карты) и получить искомые данные.
Пять уроков, которые стоит извлечь из взлома кредитной карты: http://t.co/I3SUisoZgR Рекомендуется всем, кто пользуется "пластиком".
— Kaspersky (@Kaspersky_ru) November 12, 2014
Что еще интереснее, таким же образом можно добавить диалог «Ошибка, введите PIN еще раз». Только теперь терминал будет считать, что принимает несекретные данные (например, адрес или ИНН), воспользуется все тем же слабым шифрованием и в результате передаст введенные цифры прямиком злоумышленникам.
Эксперты дают покупателям два простых совета, которые помогут избежать подобных атак. Во-первых, никогда не вводите PIN-код повторно. Если уж подозреваете ошибку, сделайте отмену операции, выньте карту, вставьте ее — и только тогда еще раз вводите PIN. Также стоит проявлять бдительность и не отвечать на неожиданные вопросы, которые задает платежный терминал, особенно если это вопрос о контрольном коде CVC2/CVV2 с оборота карты.
Второй совет применим далеко не в каждой стране, но эксперты NCR довольно высокого мнения о защите мобильных платежных систем, таких как Apple Pay. Ну и конечно, вариант оплаты наличными по-прежнему является надежной защитой от мошенничества с банковскими картами.