что такое чип код

Чип-карта

Опубликовано 14.07.2021 · Обновлено 15.07.2021

Что такое чип-карта?

Чип-карта – это пластиковая дебетовая или кредитная карта стандартного размера, которая содержит встроенный микрочип, а также традиционную магнитную полосу. Информации шифрует чип для повышения безопасности данных при совершении операций в магазинах, терминалы или банкоматы (ATM). Чип-карты также известны как смарт-карты, карты с чипом и PIN-кодом, карты с чипом и подписью и карты Europay, MasterCard, Visa (EMV).

Как работают чип-карты

Пластик уже довольно давно является популярным способом оплаты, обеспечивая потребителям удобство и безопасность при оплате наличными. Кредитные карты с возобновляемым кредитом как и мы сегодня – существуют с 1950-х годов, а дебетовые карты присутствуют на рынке с конца 1960-х годов. Информация об учетной записи, такая как кредитный лимит держателя карты, доступный баланс и лимиты транзакций, хранилась на магнитной полосе на обратной стороне.

Чип-карты стали мировым стандартом для дебетовых и кредитных операций после того, как технология была представлена Europay, MasterCard и Visa. Вот почему ее также называют картой EMV. Чип-карты имеют небольшой серебряный или золотой микрочип, встроенный в лицевую сторону дебетовой или кредитной карты. Как и магнитная полоса, чип содержит информацию об аккаунте (ах), связанном с картой. Технология была впервые использована в Европе, прежде чем стала стандартом во всем мире. Технология была официально принята в США в октябре 2015 года.

Для того чтобы использовать чип – карты, владелец карты вставляет карту в чип с поддержкой терминала, такого как банкомат или пункт-продажи (POS) терминала. Терминал отправляет информацию о держателе карты на сайт продавца или поставщика карты. Если баланс счета поддерживает транзакцию, она утверждается. В противном случае терминал отклоняет транзакцию и она не проходит. Некоторые терминалы требуют, чтобы владелец карты ввел личный идентификационный номер (PIN) или подпись для завершения транзакции.

Ключевые выводы

Особые соображения

Несмотря на усилия мирового финансового сообщества по обеспечению единой среды для финансовых транзакций, не все устройства чтения карт поддерживают чипы. Высокая стоимость, доступность оборудования и технологий, а также другие факторы могут помешать продавцам внедрять технологию на базе микросхем. Когда розничный торговец или другой поставщик услуг не имеет терминала для чтения чипов, держатели карт должны проводить свои карты с помощью магнитной полосы. От пользователей может потребоваться ввести свои ПИН-коды или подписать, чтобы авторизовать транзакцию и завершить покупку.

Типы чип-карт

В большинстве случаев держателю карты просто требуется ввести свою карту с чипом в терминал, чтобы выполнить транзакцию в Соединенных Штатах. Но в других случаях, в том числе в других странах, от потребителей может потребоваться предпринять дополнительные шаги, чтобы совершить покупку или снять наличные в банкомате с использованием следующих карт.

Карты с чипом и подписью

Чип и сигнатура карта обеспечивает немного более высокий уровень безопасности по сравнению с традиционной магнитной полосой. Вместо того, чтобы использовать полосу, владелец карты использует чип для отправки данных с терминала в финансовое учреждение. Если транзакция одобрена, потребитель должен предоставить подпись для завершения транзакции.

Карты с чипом и PIN-кодом

Эти карты обеспечивают максимальную безопасность для потребителей. Они работают так же, как обычная чип-карта, но также требуют использования ПИН-кода для завершения транзакции. Клиент должен ввести свой личный идентификационный номер, чтобы совершить покупку или снять деньги в банкомате с помощью своей кредитной или дебетовой карты. ПИН-коды обычно используются для снятия средств в банкоматах с использованием дебетовых и кредитных карт в США. Потребители в Канаде и других странах должны использовать свои PIN-коды независимо от того, как и где они используют свои карты, даже если это кредитная карта.

Преимущества чип-карт

Технология чип-карт обеспечивает дополнительный уровень безопасности при использовании в терминале с чипом, потому что их труднее проскочить. Эта безопасность шифрования является дополнением к мониторингу предотвращения мошенничества, уже предлагаемому поставщиками карт. В большинстве случаев покупки покрываются мошенничеством. Это покрытие ограничивает ответственность клиента в случае кражи. Встроенные чипы помогают продавцам избежать мошенничества с предъявлением карты, но другие меры защиты должны исходить из других методов, чтобы предотвратить мошенничество с предъявлением карты.

Краткий обзор

Технологию с использованием чипа нельзя использовать для поиска потерянной карты.

Чип делает транзакции более безопасными за счет шифрования информации при использовании в терминале с чипом. Технология чип-карт еще не является системой поиска, поэтому вы не сможете найти свою карту с помощью службы поиска, если вы ее потеряете. В этом случае вам необходимо запросить замену карты у вашего провайдера. Пока карта не задействована в считывателе, карта не может определить свое местоположение в целях безопасности или рекламы. Чип ограничен поддержкой аутентификации данных карты во время покупок. Обычно этот тип карты легко заменяется в случае утери или повреждения.

Банки отслеживают активность чип-карты по месту использования, сумме покупки и продавцу, списывающему средства со счета. Если будет обнаружена какая-либо мошенническая деятельность, провайдер карты попытается связаться с клиентом. Банк предоставляет кредит на счет чип-карты после проверки мошенничества.

Технология микросхем может помочь уменьшить некоторые виды мошенничества, возникающие в результате утечки данных, хотя на самом деле она не предотвращает утечку данных. Повышенная безопасность самого чипа содержит меры по предотвращению подделки.

Источник

Чем на самом деле является QR код и стоит ли им пользоваться

В наше время, кажется, уже все знают, что такое QR-код, но мало кто знает, как он появился, где применяется и какие особенности имеет. В то же время этот незамысловатый квадратик с узором не просто является актуальным носителем информации, но и имеет все шансы стать очень перспективным средством донесения информации до человека будущего. Если вы думаете, что он проще, чем кажется — эта статья для вас. Тем более что сейчас, когда москвичей обязали проходить идентификацию по QR при выходе из дома в условиях карантина.

QR код очень удобен. Отсканировал и нужная информация у тебя.

Кто придумал QR-код

История этого на первый взгляд простого узора началась ровно четверть века назад в Японии. Разработкой занималась компания Denso-Wave. Сейчас обозначение ”QR code” является зарегистрированным товарным знаком DENSO Corporation, однако, его использование не облагается какими-либо лицензионными отчислениями. Кроме этого, сами QR коды описаны и опубликованы в качестве стандартов ISO.

Расшифровка QR очень проста. Две столь привычные буквы означают “Quick Response”. То есть QR код можно назвать кодом быстрого реагирования (или моментального отклика). Сейчас это как никогда отражает суть, так как для сканирования не нужно никаких специальных приборов. Достаточно поднести к коду смартфон и можно получить всю необходимую информацию.

В сканировании QR кода нет ничего сложного и в этом его плюс.

Изначально код разрабатывался для автомобильной промышленности, но постепенно начал выходить за ее пределы. Настоящий прорыв в умах потребителей произошел с появлением в широком доступе смартфонов с хорошей камерой. Именно тогда начали появляться информационные и рекламные коды, сделанные по технологии QR.

Технические особенности QR кода

QR коды бывают разных версий и в зависимости от них имеют разный размер. От 21 на 21 пикселя без учета полей в первой версии до 177 на 177 пикселей в сороковой версии.

Существует 4 основных типа кодировок. Среди них цифровая (для шифровки цифр), алфавитно-цифровая (цифры и символы), байтовая (данные) и кандзи, предназначенная для работы с иероглифами.

Для исправления ошибок в QR-коде, в случае его повреждения или нанесения дополнительных рисунков, используется код Рида-Соломона с 8-битным кодовым словом. Существует четыре уровня избыточности (7%, 15%, 25% и 30%). Есть и другие сложные степени защиты от ошибок считывания. Особую важность они обретают в случае работы с платежными и идентификационными системами. Одной из таких степеней является перебор всех возможных вариантов считывания с подсчетом штрафных баллов по особым правилам для каждой из них. В итоге выбирается самый удачный вариант, который и принимается за истинный.

Как работает QR код

Главным преимуществом QR кода является его “вместительность”. Этот тип кода является двухмерным в отличии от одномерного штрих-кода. В свое время переход от “полосочек” к “квадратикам” был обусловлен именно необходимостью шифровать в кодах больше информации.

Подписывайтесь на наш новостной Telegram-канал и всегда будете в курсе всего самого нового и интересного из мира Android и не только.

Стандартный QR код может нести в себе до 4000 символов. Это позволяет зашифровать не только пару десятков символов инвентарного номера товара в магазине, но даже целые тексты, длинные реферальные ссылки и многое другое. Есть даже возможность шифрования JPEG, GIF и PNG. Правда, для этого они должны быть размером не больше 4 КБ, а это очень мало. Для передачи изображений куда проще зашифровать ссылку и разместить на специальной странице любое изображение.

В QR код можно даже зашифровать книгу.

Основным преимуществом QR кодов является их перспективность. С каждым днем они появляются вокруг нас все чаще и чаще. Многие рекламные компании переведены на этот код. Уже сейчас вполне нормально идти по улице и встретить QR код на столбе или стене. В этом случае, правда, стоит быть осторожным, так как никто не знает, куда он ведет. Но, если вы видите код на большом плакате в магазине, на ТВ или на упаковке товара, его можно смело сканировать.

Пример использования QR кода в общественных местах.

Использование QR кода даже позволяет сэкономить на стоимости товара. Например, вы покупаете наушники и производителю не нужно класть в коробку толстые стопки инструкций на всех языках. Достаточно разместить внутри QR-код со ссылкой на страничку, где можно будет выбрать язык и получить нужную информацию. Экономия идет за счет уменьшения веса упаковки, уменьшения ее объема и, конечно, экономии на бумаге.

Возвращаясь к перспективам, можно представить варианты нашего будущего, когда дополненная реальность станет обычным делом и мы будем ходить в специальных очках. При считывании такого кода очки заменят его на нужное изображение и рядом с человеком “повиснет” экран с информацией. Звучит немного криповато, но реклама коварна — она не спрашивает, когда ей появиться.

Отсканировал QR и не нужно много места для печатного текста.

Пока в рекламе коды применяются только как дополнение. Есть основной посыл и завлекающий элемент в виде QR кода, по которому предлагается перейти для получения большей информации. Опять же, так производители могут более точно оценить эффективность рекламы и количество людей, заинтересованных в ней.

Что такое Micro QR code

Кроме основного типа QR кода, в последнее время начал набирать популярность Micro QR. Основным преимуществом является бОльшая эффективность. В самом коде используется только одна метка позиционирования, в отличии от трех в большом варианте (большие квадраты по углам). Это позволяет высвободить дополнительное пространство, не переживая за ошибки считывания.

Пример Micro QR кода

Кроме этого, в Micro QR уменьшен размер свободной области. В обычном варианте должно использоваться 4 модуля свободного пространства, а в Micro QR только два. Свободным полем является чистая область за пределами изображения кода, а модулями — один элемент (квадратик) внутри самого кода. То есть уменьшение свободной области позволяет разместить код более красиво и опять же сэкономить место.

Зачем нужны QR-коды

Креативщики из Guinness решили внести современные нотки в такое старое дело, как пивоварение. Так, на бокалы пива наносится QR код, который видно только при наполнении емкости темным пивом Guinness. Когда стакан пустой или наполнен обычным светлым пивом, код считать не получится. Если покупатель все же считал код, он получает доступ на специальную страницу с промокодами и другой интересной информацией.

Видно код — не видно код.

Та самая пицца для молодых специалистов.

Аппетитно и информативно.

Некоторые кулинары наносят QR на продукты. В итоге, покупатель может ознакомиться с историей пирожного, узнать больше о заведении или получить информацию о предстоящих акциях. Но некоторые идут дальше. В рамках кампании одного из рекрутинговых агентств, молодым специалистам, которым хотели предложить работу, отправляли пиццу с нанесенным на нее QR кодом с предложением. Это было очень креативно и кроме получателя никто не видел послание, так как пицца была очень вкусной и сразу съедалась.

Встречаются QR коды и в архитектуре. Так, например, на крыше офиса Facebook красуется большой QR код, который можно легко прочитать на снимках с воздуха. Применен QR и в проекте бизнес-центра в Дубае. Весь фасад здания должен быть покрыт “информативными квадратиками”.

Офис Facebook с QR кодом на крыше.

Проект здания в виде QR кода

Еще одним примером креатива могут служить футболисты клуба “Бромли”, которые во время матча кубка Англии вышли на поле с выбритыми на голове QR-кодами. Сканирование кодов вело на сайт букмекерской конторы. Что скажешь? Необычный ход.

Оригинальное решение по размещению QR кода. Главное, не ошибиться.

В Корее есть один очень необычный супермаркет, в котором на полках не стоят товары. Вместо этого на столбы и стены нанесены фотографии реальных полок, на которых стоят такие же ненастоящие товары. Человек ходит между этих полок, выбирает то, что ему нужно, сканирует QR код и все. На выходе он сканирует QR код для оплаты и передачи своего адреса для доставки товаров домой. Это лишнее доказательство того, что QR коды нужны для того, чтобы мы могли общаться с компьютером на одном языке.

Как использовать QR-коды

Помимо приведенных выше способов использования QR кодов есть и более приземленные, привычные многим людям.

Среди основных можно назвать оплату товаров и услуг населением азиатских стран. В Китае почти все оплачивают покупки при помощи встроенных возможностей многофункционального приложения WeChat. С его помощью оплачиваются товары на кассе, преподносятся денежные подарки путем перевода (у китайцев очень распространены так называемые ”красные конверты”) и даже подается милостыня городским попрошайкам.

Традиционные китайские красные конверты дарятся на праздники. Благодаря WeChat они стали электронными.

Согласно данным iResearch, объем мобильных платежей в Китае в 2018 году составил 72,1 триллиона юаней или примерно 10 триллионов долларов. Львиную долю из этого составили именно платежи при помощи QR-кодов.

Широкому распространению такого вида оплаты поспособствовала китайская компания Inspiry, которая в 2003 году изобрела быстрый способ считывания кодов. Правда, в начале нулевых оплата все равно проходила только в течение 15-20 секунд. Впоследствии трудности преодолели и ускорили процесс, а рост объема платежей пошел вверх по экспоненте. Для сравнения, с 2011 года он вырос почти в 1000 раз и каждый год рос не меньше, чем на четверть.

В это же время в Европе и США люди существенно реже сталкиваются с QR кодами. Например, по данным опросов в США, только 20 процентов продавцов знает как ими пользоваться и примерно такое же количество человек хоть раз в жизни сканировало QR код. Определенные попытки продвижения есть, но они очень слабые и заключаются только в размещении специальных меток на памятниках архитектуры, в общественных местах и на рекламных материалах.

Исключениями являются единичные случаи, вроде австралийского бренда UGG и американской компании Sennheiser, которые реализовали проверку подлинности на основе QR кода. После вскрытия упаковки покупателю предлагается просканировать код. Если его нет или система выдала ошибку, покупатель может вернуть товар в магазин, так как он является контрафактным.

Россия в этом вопросе продвинулась чуть дальше. Например, у нас уже несколько лет действует стандарт на использование QR кодов в документах. Он позволяет наладить документооборот на предприятиях и обеспечить боле удобную оплату коммунальных платежей. Проблема в том, что мало кто этим пользуется.

Как создать QR-код

В наше время нет, наверное, ничего проще создания QR кода. Для этого существует масса сервисов и сайтов, которые быстро и без регистрации позволяют сгенерировать нужный код и скачать его для печати или отправки кому-то. Приводить примеры в большом количестве нет смысла, достаточно просто вбить в поиске “генератор QR кода” и получить нужный результат в виде сайта или приложения.

Как видите, в этом нет ничего сложного и, если вы не пользовались такими кодами, советую попробовать. Это иногда может быть очень удобным способом поделиться информацией. Не стоит их недооценивать. И не надо называть их штрих-кодами.

Источник

Карты с чипом: переход неизбежен?

Карта с чипом – умная карта

Говоря об этом платежном инструменте, придется сравнивать его с привычным аналогом, оснащенным магнитной полосой. Собственно, в этой основе и состоит главное отличие.

Что такое чип? Это микропроцессор, похожий внешне на SIM-карту для мобильного телефона. Если сказать проще, то чиповая карта имеет впаянный миникомпьютер. Специалисты компании Visa говорят, что «пластик» с микропроцессором вмещает в 80 раз больше информации, чем магнитный «собрат».

Получается, что такой инструмент может сочетать множество программ. То есть одна чиповая карта – это и зарплата, и кредит, и социальные выплаты, и дебетовый «пластик» (в разных валютах), и проездной, и накопитель бонусов, и удостоверение личности…

Смерть мошенникам

Безопасность является одним из главных аргументов в пользу чипового продукта. Дело в том, что вся информация по счету содержится на магнитной полосе и на чипе. Но в компьютерном «пластике» эти данные зашифрованы с помощью сложных цифровых кодов и простым скиммером их не считать.

Кроме того, операция по магнитной полосе имеет всегда ОДИНАКОВЫЕ данные, которые отправляются в банк. А вот транзакция по чипу подтверждается специальным кодом, который всегда РАЗНЫЙ. Поэтому даже если мошенники ухитрились подделать чип, им ничего не светит. Хороша теория, правда? Теперь вернемся в суровую российскую реальность.

Чиповая карта: два в одном или ложка дегтя

Представьте, что вы сели в свою машину и поехали на работу. По пути решили заправиться. Да вот беда – все АЗС вдруг пропали. А на их месте – станции, обслуживающие только электромобили.

Грубое сравнение, но суть передает. Отказаться от карт с магнитной полосой – задача архисложная, как говаривал вождь. Слишком много на них завязано. Переход на чиповые карты сопровождается обновлением оборудования или полной его заменой в то время, когда до окончания срока амортизации еще далеко, а также разработкой и установкой программного обеспечения.

В общем, все это очень и очень дорого. Поэтому банки в России выпускают комбинированные карты, содержащие и магнитную полосу, и чип. То есть, если терминал в магазине не настроен на обслуживание чиповых карт, то операция проводится по магнитной полосе (и риск вновь актуален, чип тут никак не поможет).

Нужно учесть, что любая операция по карте с чипом всегда требует ввода ПИН-кода. Многим клиентам это не нравится и они считают, что сами могут выбрать, стоя в магазине, совершать операцию по чипу или магнитной полосе.

Это не так. Приоритет всегда будет отдаваться микропроцессору. Если терминал в торговой точке принимает чиповые карты, но кассир попытается прокатать «пластик» по магнитной полосе, то ничего не получится.

Теперь самое интересное – стоимость. Банкиры утверждают, что карты с чипом стоят так же, как и магнитные. Так ли это?

Сравним условия, которые в настоящий момент предлагают банки. Так, Уральский Банк Реконструкции и Развития все карты, начиная с Visa Classic и MasterCard Standard, оснащает чипом. За кредитную карту мгновенного выпуска (класс Unembossed) сроком на 3,5 года клиент не заплатит ничего, за двухгодичный чиповый «пластик» (Classic и Standard) придется выложить 450 рублей, а за «золотую» карту с чипом – 1500 рублей.

Сбербанк все свои карты (кроме мгновенных, Electron с Maestro и инструментов платежной системы American Express) оснащает чипом. У Сбербанка наблюдается поразительное единство: 750 рублей в год стоят и чиповая кредитная карта, и аналогичная дебетовая (Classic и Standard), а также мгновенная кредитка без чипа.

Русский Стандарт пока не спешит баловать своих клиентов. Чипом оснащаются только карты Gold, обслуживание которых стоит 3000 рублей. А вот ОТП Банк вообще не выпускает чиповые карты.

В заключение хочется заметить, что платежные системы Visa и MasterCard видят будущее за чиповыми и бесконтактными картами. Поэтому рано или поздно они принудительно заставят банки обновлять оборудование. И совсем скоро все карты будут с чипом.

Источник

Близкие контакты. Как работают атаки на чиповые карты

Содержание статьи

Чиповое легаси

Один из видов информа­ции, содер­жащей­ся на чиповой кар­те, — это так называ­емый Track2 Equivalent. Он прак­тичес­ки один в один пов­торя­ет содер­жимое маг­нитной полосы и, ско­рее все­го, слу­жит в качес­тве парамет­ра иден­тифика­ции кар­ты в сис­темах HSM и дру­гих под­систе­мах кар­точно­го про­цес­синга. Один из видов атак, которые вре­мя от вре­мени про­водят­ся зло­умыш­ленни­ками, под­разуме­вает запись дан­ных Track2 Equivalent на маг­нитную полосу, пос­ле чего мошен­ничес­кие опе­рации про­водят­ся либо как обыч­ные тран­закции по маг­нитной полосе, либо в режиме technical fallback. Для хищения таких дан­ных из бан­коматов исполь­зуют­ся так называ­емые шим­меры.

В одной из ста­тей о шим­минге упо­мина­ется, что в 2006 году, в самом начале выпус­ка чиповых карт, в Великоб­ритании поле Track2 Equivalent содер­жало в себе ори­гиналь­ный CVV2/CVC2. Из‑за этой ошиб­ки было лег­ко соз­давать кло­ны маг­нитных полос карт, по которым опла­та про­исхо­дила с помощью чипа. Тог­да пла­теж­ные сис­темы решили исполь­зовать раз­ные seed при генера­ции полей CVV2/CVC2 на маг­нитной полосе и в поле Track2 Equivalent. Казалось бы, задача решена — зна­чение сек­ретно­го поля CVV2/CVC2 на маг­нитной полосе не сов­пада­ет с тем, что записа­но на чипе. Но шим­минг жив и по‑преж­нему проц­вета­ет. Почему?

Мно­гие бан­ки до сих пор одоб­ряют тран­закции со счи­тан­ными с чипа зна­чени­ями CVV2/CVC2! Об этом час­то упо­мина­ет Visa и поч­ти не пишет MasterCard. Одна из при­чин, по моему мне­нию, — прак­тичес­ки во всех кар­тах MasterCard CVC2 в Track2 Equivalent равен 000. Для рус­ских карт это так­же неак­туаль­но: сре­ди про­тес­тирован­ных мной за два года десят­ков бан­ков я не нашел ни одной кар­ты, где эта ата­ка была бы воз­можна. Тем не менее сто­ит отме­тить, что подоб­ные ата­ки по­пуляр­ны в Аме­рике.

Од­на из нем­ногих карт MasterCard, с которой мне уда­лось вос­про­извести эту ата­ку, при­над­лежала бан­ку, вооб­ще не про­веряв­шему зна­чение поля CVC2. Я мог под­ста­вить туда что угод­но — 000, 999 или любые дру­гие вари­анты меж­ду эти­ми чис­лами. Ско­рее все­го, в этом бан­ке не был отклю­чен режим отладки, одоб­ряющий любые тран­закции.

По моей ста­тис­тике, 4 из 11 карт были под­верже­ны подоб­ным ата­кам.

Бразильский хак

Под этим тер­мином понима­ют нес­коль­ко видов атак, в том чис­ле ата­ку на офлайн‑тер­миналы, опи­сан­ную «Лабора­тори­ей Кас­пер­ско­го». О самой мас­совой ата­ке c таким наз­вани­ем рас­ска­зывал Брай­ан Кребс. В чем суть нашумев­шей ата­ки?

В начале 2010-х чиповые кар­ты наконец‑то получи­ли широкое рас­простра­нение в США. Нес­коль­ко бан­ков начали выпус­кать такие кар­ты. Сто­ит заметить, что до сих пор самая рас­простра­нен­ная чиповая схе­ма в США — это не Chip & PIN, а Chip & Signature. Вла­дель­цу подоб­ной кар­ты не надо вво­дить ПИН‑код, а нуж­но толь­ко вста­вить кар­ту в счи­тыва­тель и под­твер­дить тран­закцию под­писью на чеке. Почему эта схе­ма так при­жилась — рас­ска­жу даль­ше.

Как мне кажет­ся, где‑то в этом про­цес­се про­изош­ла инсай­дер­ская утеч­ка информа­ции, и хакеры узна­ли, что чиповая тран­закция вро­де и про­ходит, но не про­веря­ется на сто­роне бан­ка‑эми­тен­та. Банк прос­то брал поле Track2 Equivalent и про­водил иден­тифика­цию, как если бы это была обыч­ная тран­закция по маг­нитной полосе. С нес­коль­кими нюан­сами: ответс­твен­ность за мошен­ничес­тво такого рода по новым пра­вилам EMV Liability Shift теперь лежала на бан­ке‑эми­тен­те. А бан­ки‑эми­тен­ты, не до кон­ца понимая, как работа­ли такие кар­ты, не вво­дили силь­ных огра­ниче­ний на «чиповые» тран­закции и не исполь­зовали сис­темы антифро­да.

Быс­тро сооб­разив, что из это­го мож­но извлечь выгоду, кар­деры ста­ли откры­вать мер­чант‑акка­унты и, исполь­зуя куп­ленные на чер­ном рын­ке дан­ные маг­нитных полос Track2, совер­шали сот­ни тран­закций «чипом». Рас­сле­дова­ние заняло годы, и к момен­ту его окон­чания мошен­ники уже скры­лись. Сум­мы потерь не раз­гла­шают­ся, одна­ко оче­вид­но, что они были сущес­твен­ными. Самое печаль­ное, что с тех пор жители стран Латин­ской Аме­рики ры­щут по все­му све­ту в поис­ках «белых китов» и активно тес­тиру­ют бан­ки, пыта­ясь най­ти дру­гой такой же неот­клю­чен­ный отла­доч­ный интерфейс.

Cryptogram Replay и Cryptogram Preplay

«В дикой при­роде» подоб­ная ата­ка наб­людалась лишь еди­нож­ды. Она была задоку­мен­тирова­на и опи­сана (PDF) в иссле­дова­нии извес­тных спе­циалис­тов из Кем­бридж­ско­го уни­вер­ситета.

Суть ата­ки зак­люча­ется в обхо­де механиз­мов, обес­печива­ющих уни­каль­ность каж­дой тран­закции и крип­тограм­мы. Ата­ка поз­воля­ет «кло­ниро­вать тран­закции» для даль­нейше­го исполь­зования уже без дос­тупа к ори­гиналь­ной кар­те. В пер­вой час­ти уже рас­ска­зыва­лось, что на вхо­де кар­та получа­ет опре­делен­ный набор дан­ных: сум­му, дату тран­закции, а так­же два поля, обес­печива­ющих энтро­пию, даже если сум­ма и дата оди­нако­вые. Со сто­роны тер­минала энтро­пию 2 32 обес­печива­ют 4 бай­та поля UN — слу­чай­ного чис­ла. Со сто­роны кар­ты — ATC-счет­чик опе­раций, уве­личи­вающий­ся каж­дый раз на еди­ницу. Псев­дофун­кция выг­лядит при­мер­но так:

Ес­ли одно из полей меня­ется, изме­няет­ся и выход­ное зна­чение крип­тограм­мы. Одна­ко что про­изой­дет, если все поля оста­нут­ся преж­ними? Зна­чит, и преж­няя крип­тограм­ма оста­нет­ся валид­ной. Из это­го сле­дуют две воз­можнос­ти атак на чиповые тран­закции.

Схе­ма ата­ки Cryptogram Replay

Эта ата­ка инте­рес­на с исто­ричес­кой точ­ки зре­ния раз­вития про­токо­ла EMV. Ког­да про­токол соз­давал­ся, поле ATC было соз­дано спе­циаль­но для защиты от подоб­ных атак.

Банк‑эми­тент дол­жен был про­верять зна­чение поля ATC, и, если эти зна­чения при­ходи­ли не по поряд­ку, с замет­ными скач­ками, подоз­ритель­ные тран­закции откло­нялись.

Рас­смот­рим при­мер: кли­ент бан­ка садит­ся в самолет, рас­пла­чива­ется в самоле­те кар­той с исполь­зовани­ем офлайн‑тер­минала. Далее самолет при­зем­ляет­ся, и кли­ент рас­пла­чива­ется кар­той в оте­ле. И толь­ко пос­ле это­го исполь­зуемый в самоле­те тер­минал под­клю­чает­ся к сети и переда­ет дан­ные о тран­закци­ях. В таком слу­чае будет зафик­сирован ска­чок ATC, и, сле­дуя пра­вилам пла­теж­ных сис­тем, банк мог бы откло­нить абсо­лют­но легитим­ную тран­закцию. Пос­ле нес­коль­ких подоб­ных эпи­зодов пла­теж­ные сис­темы внес­ли кор­ректи­вы в их тре­бова­ния по «скач­кам ATC»:

При этом за бор­том изме­нений остался пер­вый сце­нарий — cryptogram replay. Если кар­точный про­цес­синг спро­екти­рован кор­рек­тно, нет ни одно­го разум­ного объ­ясне­ния ситу­ации, ког­да один и тот же набор дан­ных (Cryptogram, UN, ATC) пос­тупа­ет на вход мно­го раз и успешно одоб­ряет­ся бан­ком. За пос­ледний год я отпра­вил информа­цию об этой ата­ке более чем в 30 раз­ных бан­ков и получил дос­таточ­но широкий спектр отве­тов.

В некото­рых слу­чаях неп­равиль­ное про­екти­рова­ние сер­висов про­цес­синга при­водит к тому, что банк не может прос­то заб­локиро­вать опе­рации с оди­нако­выми зна­чени­ями. Так­же сто­ит отме­тить, что в «дикой при­роде» я не встре­чал тер­миналы, которые воз­вра­щали бы оди­нако­вое зна­чение поля UN. То есть зло­умыш­ленни­кам при­ходит­ся исполь­зовать их собс­твен­ные тер­миналы, что дела­ет отмы­вание денег более слож­ным.

Кро­ме того, даже офлайн‑аутен­тифика­ция не всег­да помога­ет: ее мож­но обой­ти либо пред­положить, что источник UN ском­про­мети­рован и в ней. В этом слу­чае мож­но заранее выс­читать резуль­тиру­ющие зна­чения схем аутен­тифика­ции DDA/CDA для пред­ска­зуемо­го поля UN.

Ста­тис­тика показы­вает, что 18 из 31 бан­ков­ской кар­ты под­верже­ны ата­кам replay/preplay в отно­шении кон­так­тно­го или бес­контак­тно­го чипа. При этом в Рос­сии я не смог най­ти ни одно­го уяз­вимого для это­го типа атак бан­ка, что край­не любопыт­но.

PIN OK

По­жалуй, это самая извес­тная ата­ка на чипы. Пер­вые теоре­тичес­кие пред­посыл­ки к этой ата­ке коман­да из Кем­брид­жа опи­сала в 2005 году в иссле­дова­нии Chip and Spin, за год до того, как стан­дарт EMV получил рас­простра­нение в Великоб­ритании. Но повышен­ное вни­мание к этой ата­ке воз­никло гораз­до поз­днее.

В 2010 году выходит пол­ноцен­ное иссле­дова­ние кем­бридж­ской чет­верки, пос­вящен­ное ата­ке PIN OK. Для этой ата­ки они исполь­зовали устрой­ство, реали­зующее тех­нику «человек посере­дине» меж­ду чипом кар­ты и ридером тер­минала.

Ус­трой­ство для реали­зации тех­ники «человек посере­дине»

В 2011 году на кон­ферен­циях Black Hat и DEFCON груп­па иссле­дова­телей из Inverse Path и Aperture Labs пред­ста­вила боль­ше информа­ции об этой ата­ке. Тог­да же, в 2011 году, орга­низо­ван­ная прес­тупная груп­пиров­ка исполь­зовала 40 укра­ден­ных бан­ков­ских карт для совер­шения 7000 мошен­ничес­ких тран­закций, в резуль­тате которых было укра­дено 680 тысяч евро. Вмес­то при­меняв­шегося иссле­дова­теля­ми гро­моз­дко­го устрой­ства прес­тупни­ки вос­поль­зовались малень­ким незамет­ным «вто­рым чипом», уста­нов­ленным поверх ори­гиналь­ного, что поз­воляло эму­лиро­вать ата­ку в реаль­ных усло­виях.

В декаб­ре 2014 года иссле­дова­тели из Inverse Path сно­ва под­няли тему атак на тран­закции EMV и пред­ста­вили нем­ного ста­тис­тики, соб­ранной ими за три года (PDF). В 2015 году было выпуще­но деталь­ное тех­ничес­кое иссле­дова­ние ата­ки (PDF), совер­шенной неиз­вес­тны­ми зло­умыш­ленни­ками в 2011 году.

Да­вай рас­смот­рим тех­ничес­кие детали этой ата­ки. Для ее реали­зации, напом­ним, нуж­но исполь­зовать тех­нику man in the middle. Кар­та переда­ет тер­миналу поле CVM List (Сard Verification Method) — при­ори­тет­ный спи­сок методов верифи­кации вла­дель­ца кар­ты, под­держи­ваемых кар­той. Если пер­вое пра­вило на кар­те «офлайн‑ПИН шиф­рован­ный/нешиф­рован­ный», на этом эта­пе ничего не про­исхо­дит. Если пер­вое пра­вило дру­гое, то во вре­мя ата­ки пер­вое пра­вило под­меня­ется на «офлайн‑ПИН».

За­тем тер­минал зап­рашива­ет у вла­дель­ца кар­ты ПИН‑код. Пра­вило «офлайн‑ПИН» озна­чает, что ПИН‑код будет передан кар­те для свер­ки в откры­том или шиф­рован­ном виде. В ответ кар­та либо отве­тит 63C2 «Невер­ный ПИН, оста­лось две попыт­ки», либо 9000 «ПИН ОК». Имен­но на этом эта­пе зло­умыш­ленник, внед­ривший­ся в про­цесс авто­риза­ции, заменит пер­вый ответ вто­рым.

На дан­ном эта­пе тер­минал счи­тает, что ПИН вве­ден кор­рек­тно, и зап­рашива­ет у кар­ты крип­тограм­му (зап­рос Generate AC), переда­вая ей все зап­рашива­емые поля. Кар­та зна­ет, что ПИН либо не вве­ден сов­сем, либо вве­ден некор­рек­тно. Но при этом кар­та не зна­ет, какое решение даль­ше при­нял тер­минал. Нап­ример, есть тер­миналы, которые при вво­де некор­рек­тно­го ПИН‑кода про­сят дер­жателя кар­ты пос­тавить под­пись на тачс­кри­не — дела­ется это для его же ком­форта. Поэто­му, ког­да тер­минал зап­рашива­ет крип­тограм­му, кар­та отда­ет ее. В отве­те содер­жится поле CVR — Card Verification Results, которое ука­зыва­ет, был ли про­верен ПИН‑код кар­той или нет. Более того, это поле явля­ется частью пла­теж­ной крип­тограм­мы, и под­менить его зна­чение зло­умыш­ленни­кам не удас­тся: попыт­ка при­ведет к ошиб­ке свер­ки крип­тограм­мы на HSM.

Тер­минал отсы­лает все дан­ные в пакете ISO 8583 Authorization Request бан­ку‑эквай­еру, затем они пос­тупа­ют бан­ку‑эми­тен­ту. Банк видит два поля: CVMResults, которое ука­зыва­ет, что в качес­тве метода верифи­кации был выб­ран офлайн‑ПИН и что тер­минал под­держи­вает этот метод верифи­кации. Но еще банк видит, что кар­та НЕ при­няла ПИН‑код либо что он был вве­ден некор­рек­тно. И нес­мотря ни на что, одоб­ряет тран­закцию.

Ес­ли кар­та исполь­зует схе­му аутен­тифика­ции CDA и зло­умыш­ленни­кам необ­ходимо под­менить пер­вое пра­вило CVM list, офлайн‑аутен­тифика­ция будет завер­шена с ошиб­кой. Одна­ко это всег­да обхо­дит­ся под­меной полей Issuer Action Code. Под­робнос­ти дан­ного слу­чая опи­саны в пос­ледней вер­сии пре­зен­тации от 2014 года экспер­тами из Inverse Path.

Так­же в пер­вом иссле­дова­нии от 2011 года спе­циалис­ты показа­ли, что стан­дарт EMV поз­воля­ет не откло­нять тран­закции на пла­теж­ном устрой­стве, даже если безопас­ные методы аутен­тифика­ции и верифи­кации не сра­бота­ли, а идти даль­ше, каж­дый раз выбирая менее безопас­ные методы (так называ­емый fallback). Это откры­вает перед зло­умыш­ленни­ками дру­гие воз­можнос­ти, вклю­чая ата­ки на похище­ние ПИН‑кода во вре­мя опе­раций на ском­про­мети­рован­ных POS-тер­миналах.

Заключение

Ин­терес­ная ста­тис­тика за пос­ледний год: нес­мотря на то что еще в 2010-м «нас­тоящие безопас­ники» из бан­ков уми­лялись тому, как кто‑то не сле­дит за оче­вид­ными проб­лемами кар­точно­го про­цес­синга, в 2020 году все при­мер­но так же пло­хо. Ста­тис­тика про­верок за прош­лый год показа­ла, что 31 из 33 карт бан­ков с раз­ных угол­ков Зем­ли, вклю­чая рос­сий­ские, уяз­вима к этой ата­ке.

В сле­дующей статье я рас­смот­рю схе­мы атак на бес­контак­тные кар­ты и свя­зан­ные с ними при­ложе­ния — мобиль­ные кошель­ки.

Источник