Често Задавани Въпроси

Абонаменти

RSS Кратки статии RSS Пълни статии Atom

Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Warning: gzinflate() [function.gzinflate]: data error in /home/singu/chzv.net/wp-content/plugins/xhanch-my-twitter/inc/common.php on line 187

Последни туитове

chzvnet
  • CHZV.netRT @dave_rel1k: SET v1.5 interactive shell running on OSX. No sir your machine isn't infected, mac's don't have viruses. http://yfrog.co ... - на 16/06/2011 в 09:17:09
  • CHZV.netRT @PrivacyCamp: PayPal vulnerability allows access to any account within 30 seconds http://ow.ly/5iZcK - на 16/06/2011 в 09:07:16
  • CHZV.netХроника на сагата около Сони - кога и какво е хакнато - http://t.co/sxejfv4 - на 11/06/2011 в 11:56:21
  • CHZV.netRT @mikkohypponen: Malware gang's $14.8 million bank account frozen: http://bit.ly/jrcTuf from F-Secure Weblog - на 11/06/2011 в 01:54:21
  • CHZV.netRT @mikkohypponen: Citibank says they too were hacked. They lost card information of one percent of their customers: http://t.co/5sFxWOz ... - на 09/06/2011 в 08:33:22
  • CHZV.netRT @dave_rel1k: Another Social-Engineer Toolkit (SET) update, added multi-threading to spear phishing mass mails. #sweet - на 09/06/2011 в 07:38:55
  • CHZV.netRT @taviso: Should you trust a root CA that couldn't keep track of it's own keys? Trick question, you already do. http://i.imgur.com/oTS ... - на 09/06/2011 в 07:37:36
  • CHZV.netRT @DarkReading: Meeet the 'ad hijacking' attack: http://tinyurl.com/44rfnhk - на 07/06/2011 в 17:39:03
  • CHZV.netRT @rapid7: New Metasploit modules designed specifically for testing firewalls, IDS, IPS, and DLP solutions - http://r-7.co/jZlksz - на 07/06/2011 в 03:49:34
  • CHZV.netRT @lennyzeltser: TDL rootkit implements its own file system to store files on the hard drive: http://bit.ly/jNriDd by @ESETLLC - на 07/06/2011 в 03:34:08
  • CHZV.netRT @dave_rel1k: SET v1.4.1 has been updated in the Back|Track repositories. Lot's of bug fixes and updates around relative paths and fea ... - на 07/06/2011 в 03:32:12
  • CHZV.netRT @mikkohypponen: Fun trick of the day: Try 'ping 2130706433' from the command line and figure out why it works. - на 23/05/2011 в 23:09:33
  • CHZV.netRT @dave_rel1k: The Social-Engineer Toolkit (SET) v1.4.1 has been released. Adds statistics for harvester, bug fixes, and more. - на 20/05/2011 в 22:54:02
  • CHZV.netRT @Reuters: Sony hacked again http://t.co/RI14jsL - на 20/05/2011 в 17:53:37
  • CHZV.netRT @lordparody: My new security slogan. "Better Safe Than Sony" - на 20/05/2011 в 17:51:57
My Twitter, by Xhanch
 

Скимиране на банкови карти с чип

March 12th, 2008 от singu

В скорошно изследване на сигурността на банковите карти с чип, Saar Drimer, Steven J. Murdoch и Ross Anderson от университета в Кеймбридж са успели да преодолеят защитите на няколко устройства за въвеждане на ПИН. Този тип устройства се свързват към POS терминалите, обикновено на касите на магазините и представляват цифрова клавиатура с малък екран, както и четец за карти, което позволява на клиента сам да сложи картата си и да въведе ПИН-а си. Изследователите използват няколко метода:

Отначало те преодоляват физическата защита на устроствата срещу модификация. Въпреки, че тези устройства са сертифицирани, се оказва, че съвсем лесно те могат да бъдат модифицирани така, че да се прехване комуникацията между устройството и банковата карта. Тази комуникация включва и въведеният ПИН, който се изпраща на картата за проверка. Тъй като във Великобритания в повечето случаи тази комуникация не е криптирана, то това е достатъчно да бъде записана информацията от картата, и вече нищо не спира престъпниците от изготвяне на копие. Разбира се, копираната карта ще бъде само с магнитна лента, но тъй като не навсякъде се поддържат новите четци на чипове, то е напълно достатъчно за източването на пари от сметката на нищо неподозиращата жертва. Ето снимки на модифицираните устройства ( Ingenicoi3300 и Dione Xtreme )

ingenico_PED_tap.jpg dione_PED_tap.jpg

В публикуваното изследване учените обясняват, че подобно модифициране е напълно във възможностите на недобросъвестни собственици на магазини или техен персонал.

Вторият дискутиран метод, който не е реализиран на практика, включва използването на вложка, която влиза във четеца на устройството и застава между картата и самият четец. Подобно устройство може да препраща комуникацията към приемник, скрит наоколо. Този метод е по-опасен, защото може да бъде приложен дори и от престъпник, представящ се за обикновен клиент на магазина.

smart_card_shim.jpg

Устройството ( shim на горната диаграма ) ще е практически неоткриваемо за потребителите, а технологията за създаването му е напълно достъпна на съвременните престъпници.

Едиственият начин да се противодейства на такива скимери е да се криптира връзката между четеца и картата, като се използват възможностите на самата карта за криптиране с публични ключове. Тази опция е по-скъпа за реализиране от банките, но предоставя доста по-добро ниво на защита.

Сайта на учените може да намерите тук, а ето и връзка към пълното описание на изследването ( англ. )


Technorati : , , , , ,

Подобни статии:

  1. Банкови карти с чип
  2. Android приложение чете RFID карти
  3. VISA въвежда кредитна карта с OTP генератор
  4. Кражба на 21 млн банкови сметки
  5. Ботнет източва 230 хил евро от банкови сметки

Изпрати по email Изпрати по email |

Коментирайте

Внимание: Модерирането на коментари е включено и може да доведе до забавяне на публикуването на вашият коментар. Моля за търпение.