Безопасна ли е вашата банкова карта с чип? Зависи от банката

5
2701

Оригиналът е на Брайън Кребс (Brian Krebs)

Банковите карти с чип са разработени по такъв начин, че да няма смисъл да се опитва тяхното клониране с помощта на скимери или вредоносни програми, когато например извършвате разплащане с подобна карта, използвайки чипа, а не магнитната ивица върху нея. Но няколко твърде успешни атаки срещу американски магазини показват, че хакерите използват слабите места в реализацията на тази технология от някои финансови институции. Това им дава възможност да се справят с чипа на картата и да създават съвсем годни за използване фалшификати.

Традиционно в пластмасовите карти се кодират данните за банковата сметката, записани в магнитната ивица. Скимерите или вредоносния софтуер, тайно инсталиран в терминалите за разплащане, могат да прочетат данните от тази магнитна ивица и да ги запишат в някое компютърно устройство. След това тези данни могат да бъдат кодирани върху произволна друга карта с магнитна ивица и тази карата вече може да се използва за осъществяването на мошенически финансови операции.

В по-съвременните карти се използва технологията EMV (Europay + MasterCard + Visa), криптираща данните за банковата сметка, които са записани в чипа. При тази технология всеки път когато картата взаимодейства с терминала или банкомата, поддържащи работата на банкови карти с чип, се генерира еднократен  универсален ключ, който обикновено наричат токен.

На практика при всички карти с чип, в самия чип са записани съвсем същите данни, които са кодирани и в магнитната ивица на картата. Това е направено с цел обратна съвместимост, понеже много американски търговци и продавачи и до днес не са преминали към използването на терминали с поддръжката на карти с чипове. Тази двойна функционалност дава възможност на собствениците на банкови карти да използват магнитната ивица, ако терминалът на продавача не е съвместим или не работи както трябва.

Но между данните, записани в EMV чипа и данните, записани в магнитната ивица, има няколко разлики. Едната от тях е компонентът на чипа с име ‘Код за проверка на картата за интегриран чип’ или iCVV, който понякога наричат динамичен CVV,

iCVV се различава от кода CVV за потвърждение на картата и осъществява защитата от копиране на данните от чипа и тяхното използване за създаването на клонирани банкови карти с магнитна ивица. Както iCV, така и CVV, нямат връзка с трицифрения цифров код на обратната страна на картата, който обикновено се използва при пазаруване и разплащане в интернет или за потвърждение на картата по телефона.

Плюсът на EMV подхода е в това, че дори някой скимер или вирус прихване информацията за транзакция на конкретната банкова карта, то тези данни ще са действителни само за тази транзакция, след което се променят и не дават възможност на киберкрадците да извършват мошенически разплащания.

Но за да може цялата тази система за осигуряване на безопасността да работи, бекенд системите на финансовите организации, раздаващи тези карти, задължително трябва да проверяват случаите, когато картата е поставена в терминала и заедно с данните се подава и iCV. И обратното – при заплащане с помощта на магнитната ивица на банковата карта се генерира и подава CVV. Ако тези данни не съвпадат, това означава, че се използва клонинг на оригиналната банкова карта и транзакцията трябва да бъде спряна.

Но проблемът е в това, че далеч не всички финансови институции правилно настройват своите системи. Съвсем не е за учудване, че хакерите знаят за тези слаби места от много години. През 2017 година писах за увеличения процес на използването на ‘шимъри‘ – високотехнологични скимери, прихващащи данните от транзакциите, извършвани с помощта на чипа на банковата карта.

Шимър, открит в канадски банкомат

Наскоро експертите на Cyber R&D Labs публикуваха резултатите от свое изследване, в което тестваха 11 различни реализации на чипове за банкови карти на 10 различни европейски и американски банки. Те откриха, че могат да прочетат данните от чиповете на 4 от тях, след което да създадат клонирани банкови карти с магнитна ивица, които успешно да бъдат използвани за разплащания.

Има всички основания да се предполага, че методът подробно описан от Cyber R&D Labs се използва от вредоносните програми, инсталирани в някои терминали на магазините. Програмите прихващат данните от транзакциите с EMV, които след това лесно могат да бъдат препродадени и използвани за изготвянето на копия на банковите карти с чипове, но използващи магнитна ивица.

През месец юли тази година най-голямата в света разплащателна мрежа Visa публикува предупреждение за заплахите за безопасността относно наскоро компрометиран продавач. В тези терминали е инсталиран хакерски модифициран софтуер за съвместимост с работата на различните банкови карти с чипове.

‘Реализацията на безопасни технологии от типа EMV Chip значително намали ползата от прихващането на разплащателни данни от банковата сметка на трети лица, понеже тези данни включват само номера на личната PAN сметка, кодът iCVV за проверка на картата и датата за края на валидността на тези данни’ – съобщи Visa. ‘Ето защо, при правилното потвърждаване на iCVV рискът за изготвянето на фалшива банкова карта е минимален. Освен това, редица продавачи използват терминали с P2PE криптиране на данните, при което се криптира и PAN, а това още повече намалява риска от извършването на фалшиви разплащания’.

Името на този конкретен продавач не се съобщава, но по всичко личи, че това се е случило във веригата супермаркети Key Food Stores Co-Operative Inc., намиращи се в северозападната част на САЩ. Първоначално Key Food разкри подробностите за хакването на банкови карти през месец март тази година, но през юли 2020-та обнови своето съобщение, като добави информация, че данните по EMV транзакциите също са били прихванати.

‘Терминалите в магазините поддържаха EMV’ – уточнява Key Food. ‘Според нас вредоносните програми по време на транзакциите в тези обекти са успявали да прихванат само номера на банковата карта и датата на нейното изтичане, като името на нейния притежател и вътрешния код за потвърждение са останали незасегнати’.

От техническа гледна точка изявлението на Key Food може да се счита за правилно, но то замазва реалността, понеже откраднатите EMV данни все пак могат да се използват за създаване на клонинги с магнитна ивица, които след това могат да бъдат използвани, но само при касите, където има терминали с вредоносен софтуер, който се възползва от некоректно настроената EMV защита на някои банки.

През месец юли компанията Gemini Advisor, която се занимава предимно с професионална защита от хакери и мошеници, публикува в своя официален блог информация, в която подробно описа осъщественият наскоро взлом на различни продавачи, включително и Key Food, в резултат от което са откраднати огромен брой данни от EMV транзакциите, които след това след това се появиха за продажба в нелегалните магазини за кардери.

‘Разплащателните карти, информацията от които бе открадната по време на този инцидент, се появиха за продажба в даркнет. – съобщи Gemin. ‘Малко след инцидента няколко финансови институции потвърдиха, че всички участвали в този инцидент банкови карти са били обработвани чрез EMV, без да разчитат на магнитната ивица като резервен вариант’.

Gemini потвърди още един инцидент относно безопасността на банковите карти, който бе засечен в магазин за алкохол в щата Джорджия. При този инцидент също има компрометиране на данните по EMV транзакциите, които почти веднага са се появили в сайтовете в даркнет, продаващи дубликати на банкови карти. Както по-късно отбелязаха Gemini и Visa, и в двата случая правилното потвърждаване на iCVV данните от банките би направило тези данни безполезни за мошениците.

Gemini каза още, че самият брой пострадали магазини показва, че е нищожна вероятността киберкрадците да прихващат EMV данните чрез ръчно поставени EMV шимъри.

‘Като се има предвид непрактичността на тази тактика, може да се каже, че там е използвана друга техника за проникване в разплащателните терминали за събирането на достатъчно количество EMV данни за осъществяването на EMV-Bypass Cloning’ – пише компанията.

Компанията Gemini допълва, че големите организации, предлагащи големи количества банкови карти, като например Chase и Bank of America вече проверяват всички несъответствия на iCVV и CVV и отхвърлят подозрителните транзакции. Но по-малките финансови институции изобщо не си правят труда да се занимават с това.

За добро или лошо, не са обявени кои именно финансови институции неправилно използват EMV стандарта и това е съвсем разбираемо. Ето защо е добре винаги най-внимателно да следим за своите разходи по банковата карта и незабавно да съобщаваме на обслужващата банка за каквито и да било странични транзакции. А ако вашата банка ви дава възможност за получаването на текстови съобщения за извършените транзакции, то това ще ви позволи почти в реално време да наблюдавате разплащателната активност по картата. Това всъщност е най-важното – кои банки изпращат SMS съобщения или имейли за извършена транзакция и след колко време тази информация пристига до вас – на секундата, след един ден, когато вече няма смисъл, или тази услуга изобщо не се предлага.

5 3 гласа
Оценете статията
Абонирай се
Извести ме за
guest
5 Коментара
стари
нови оценка
Отзиви
Всички коментари