Скимиране на банкови карти с чип
March 12th, 2008 от 
singu
В скорошно изследване на сигурността на банковите карти с чип, Saar Drimer, Steven J. Murdoch и Ross Anderson от университета в Кеймбридж са успели да преодолеят защитите на няколко устройства за въвеждане на ПИН. Този тип устройства се свързват към POS терминалите, обикновено на касите на магазините и представляват цифрова клавиатура с малък екран, както и четец за карти, което позволява на клиента сам да сложи картата си и да въведе ПИН-а си. Изследователите използват няколко метода:
Отначало те преодоляват физическата защита на устроствата срещу модификация. Въпреки, че тези устройства са сертифицирани, се оказва, че съвсем лесно те могат да бъдат модифицирани така, че да се прехване комуникацията между устройството и банковата карта. Тази комуникация включва и въведеният ПИН, който се изпраща на картата за проверка. Тъй като във Великобритания в повечето случаи тази комуникация не е криптирана, то това е достатъчно да бъде записана информацията от картата, и вече нищо не спира престъпниците от изготвяне на копие. Разбира се, копираната карта ще бъде само с магнитна лента, но тъй като не навсякъде се поддържат новите четци на чипове, то е напълно достатъчно за източването на пари от сметката на нищо неподозиращата жертва. Ето снимки на модифицираните устройства ( Ingenicoi3300 и Dione Xtreme )
В публикуваното изследване учените обясняват, че подобно модифициране е напълно във възможностите на недобросъвестни собственици на магазини или техен персонал.
Вторият дискутиран метод, който не е реализиран на практика, включва използването на вложка, която влиза във четеца на устройството и застава между картата и самият четец. Подобно устройство може да препраща комуникацията към приемник, скрит наоколо. Този метод е по-опасен, защото може да бъде приложен дори и от престъпник, представящ се за обикновен клиент на магазина.
Устройството ( shim на горната диаграма ) ще е практически неоткриваемо за потребителите, а технологията за създаването му е напълно достъпна на съвременните престъпници.
Едиственият начин да се противодейства на такива скимери е да се криптира връзката между четеца и картата, като се използват възможностите на самата карта за криптиране с публични ключове. Тази опция е по-скъпа за реализиране от банките, но предоставя доста по-добро ниво на защита.
Сайта на учените може да намерите тук, а ето и връзка към пълното описание на изследването ( англ. )
Подобни статии:
Публикувано в Сигурност | 
