Наш общий бизнес-фронт BIKINIKA.com.ua
Банківська індустрія витрачає багато сил, часу і коштів на те, щоб платіжними картами міг скористатися тільки їх законний власник. Колись захист карти складалася в основному з рельєфних цифр і місця для зразка підпису, але з часом на варту ваших грошей стали захисні коди і розумні мікросхеми.
Картки з чіпом (стандарту EMV ) Вважаються дуже безпечними, але зловмисники вже «пробують їх на зуб». На щастя, цим зайняті не тільки вони - дослідники теж шукають і знаходять недоліки в обладнанні та архітектури платіжних систем, щоб заздалегідь повідомити виробника і допомогти залатати всі діри.
Відразу два різних дослідження по цій темі, представлених на хакерській конференції Black Hat в Лас-Вегасі, вселяють одночасно і тривогу, і надію: вкрасти гроші можна, але захист є.
Два співробітника компанії NCR, що виробляє платіжні термінали і банкомати, продемонстрували атаку на термінали, за допомогою яких традиційно в магазинах і на заправках. За допомогою крихітного дешевого комп'ютера Raspberry PI вони вклинилися в спілкування основного комп'ютера (грубо кажучи, каси) і платіжного модуля (грубо кажучи, панелі введення PIN-коду).
Взагалі-то обмін даними між ними повинен бути добре зашифрований, але найчастіше систему налаштовують неправильно і застосовується застаріле, нестійке шифрування. В результаті стає можлива атака «Людина посередині» : Хакери можуть перехопити дані, якими обмінюються платіжний модуль і основний пристрій, і розшифрувати їх.
Це, правда, не скасовує фундаментальну захист чипованной карти: деякі дані, такі як PIN-код, шифруються на самому чіпі і ніколи не передаються у відкритому вигляді. Але атакуючий може отримати іншу інформацію, наприклад зберігається в чіпі дублікат даних, зазвичай записуються на магнітній смузі.
Завдяки цьому можна дізнатися ім'я власника і номер карти, а потім використовувати отримані дані для онлайн-платежів за чужий карті. Правда, тоді буде потрібно ще захисний код з обороту карти, який при звичайному обміні даними ніяк не передається. Але тут лиходіям може допомогти ось який трюк.
Платіжні термінали крім стандартних команд «Вставте карту» і «Введіть PIN-код» вміють виводити додаткові. Технічно підкованим зловмисникам цілком під силу додати в сценарій діалогу з покупцем додатковий екран «Введіть CVV2» (або CVC2 - той самий код на зворотному боці карти) і отримати шукані дані.
Що ще цікавіше, таким же чином можна додати діалог «Помилка, введіть PIN ще раз». Тільки тепер термінал буде вважати, що приймає несекретні дані (наприклад, адреса або ІПН), скористається все тим же слабким шифруванням і в результаті передасть введені цифри прямо зловмисникам.
Експерти дають покупцям два простих ради, які допоможуть уникнути подібних атак. По-перше, ніколи не вводьте PIN-код повторно. Якщо вже підозрюєте помилку, зробіть скасування операції, вийміть карту, вставте її - і тільки тоді ще раз вводите PIN. Також варто проявляти пильність і не відповідати на несподівані питання, які задає платіжний термінал, особливо якщо це питання про контрольний коді CVC2 / CVV2 з обороту карти.
Друга порада застосуємо далеко не в кожній країні, але експерти NCR досить високої думки про захист мобільних платіжних систем, таких як Apple Pay. Ну і звичайно, варіант оплати готівкою як і раніше є надійним захистом від шахрайства з банківськими картами.
Наш общий бизнес-фронт BIKINIKA.com.ua. Казино "Buddy.Bet" обещает вам море азарта и незабываемых моментов. Поднимите ставки и начните выигрывать прямо сейчас.