как взломать пин код банковской карты
Нет времени объяснять, блокируй карту! Четыре способа снять ваши деньги без подтверждения по СМС
Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют данные «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».
Как могут украсть деньги?
В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.
Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.
Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.
Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.
AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.
Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.
Мошенники крадут деньги у клиентов банков через Uber. Под угрозой счета даже тех, кто не пользуется такси
Примеры с «Хабр»:
Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.
Как защитить данные?
Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.
Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.
Что делать, если деньги украли?
Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.
Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.
Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.
Пластиковая отмычка
Пока холода еще хранят ваши сбережения, расскажем владельцам кредитных карточек о некоторых наиболее распространенных в мире способах нелегального «облегчения» личных счетов.
Начнем с того, что еще раз напомним каждому владельцу кредитки, что пин-код надо хранить в целости и сохранности, номер никогда и никому не давать и не показывать, а сам «пластик» беречь, как зеницу ока.
А теперь поговорим о самых распространенных способах мошенничества с картами. Как выясняется, даже простое снятие наличных денег в банкомате может закончиться плачевно.
Существуют по крайней мере семь уловок, с помощью которых аферисты в одночасье могут оставить вас с одним «пластиком» в кармане.
Технически сложно, но можно перехватить данные, которые банкомат отправляет в банк, дабы удостовериться в наличии запрашиваемой суммы денег на счету. Для этого мошенникам надо подключиться к соответствующему кабелю и считать необходимые данные. Учитывая, что в Интернете соответствующие инструкции легко обнаружить в свободном доступе, а технический прогресс не стоит на месте, можно утверждать: такой вариант будет встречаться все чаще.
Для того чтобы узнать пин-код, некоторые аферисты оставляют неподалеку миниатюрную видеокамеру. Сами же они в это время находятся в ближайшем автомобиле с ноутбуком, на экране которого видны вводимые владельцем карты цифры. Вводя пин-код, прикрывайте клавиатуру свободной рукой.
Дорогостоящий, но верный на все сто способ. Бывают случаи, когда мошенники ставят в людном месте свой собственный «банкомат». Он, правда, почему-то не работает и, естественно, никаких денег не выдает. Зато успешно считывает с карточки все необходимые данные. А потом выясняется, что вы вчера уже сняли все деньги со счета и почему-то не хотите этого вспомнить!
В свое время мошенники из ОАЭ устанавливали в отверстия для кредиток специальные устройства, которые запоминали все данные о вставленной в банкомат карте. Злоумышленникам оставалось только подсмотреть пин-код либо вышеописанными способами первым и четвертым, либо банально подглядывая из-за плеча. Ну, понравилось местному аборигену ваше кольцо, или ваши часы, или что-то там еще.
Бороться с ним нельзя. Можно лишь смириться. Здесь уже ничто не зависит от вашей внимательности, осторожности или предусмотрительности. Бывает, что в сговор с мошенниками вступают те люди, которым добраться до ваших кредиток и так очень просто: служащие банков, например. Это случается очень редко, но от таких случаев не застрахован никто.
Но страдают не только владельцы карточек. Страдают и крупные фирмы, магазины, банки. Причем здесь убытки уже исчисляются сотнями тысяч долларов. А иногда миллионами.
Специалисты из правоохранительных органов многих стран мира считают, что преступления, совершенные с использованием пластиковых платежных средств, можно отнести к одним из наиболее опасных экономических преступлений. Причем совершаются они не только в компьютерной банковской системе, но и через Интернет.
Добываются же кредитные карты путем взлома крупных финансовых фирм. Например, в 2003 году после отказа платить хакерам деньги за молчание известная финансовая фирма CD Universe призналась в утере базы данных из 300 000 карт. Одна только Англия потеряла на кардинге в 2003 году 411 миллионов фунтов. В 2005 году эта цифра выросла до миллиарда. Поэтому на борьбу с киберпреступностью были ассигнованы 25 миллионов фунтов.
Кстати, в России в начале 90-х годов одним из первых пострадал Внешэкономбанк. Путем простейшего взлома компьютерной сети отечественные хакеры «облегчили» его сейфы на 130 тысяч долларов.
Всего же «электронные шерлоки холмсы» разделяют 9 основных видов киберпреступлений.
1. Операции с поддельными картами.
2. Операции с украденными/утерянными картами.
3. Многократная оплата услуг и товаров.
4. Мошенничество с почтовыми/телефонными заказами.
5. Многократное снятие со счета.
6. Мошенничество с использованием подложных слипов.
7. Мошенническое использование банкоматов при выдаче наличных денег.
8. Подключение электронного записывающего устройства к POS-терминалу/банкомату (Skimming).
9. Другие виды мошенничества.
Расскажем только о некоторых, наиболее часто встречающихся.
Операции с поддельными картами
На этот вид мошенничества приходится самая большая доля потерь платежной системы.
Механизм мошенничества может быть различным: мошенник получает в банке обычную карточку в законном порядке, вносит на специальный карточный счет минимально необходимую сумму. Затем он добывает необходимую информацию о держателе пластиковой карточки этой же компании, но с более солидным счетом, и вносит полученные таким образом новые данные в свою карточку. Для реализации такого способа мошенничества преступник должен добыть информацию о кодовых номерах, фамилии, имени, отчестве владельца карточки, об образце подписи и т.д.
Осуществить такую подделку можно по-разному:
— изменив информацию, имеющуюся на магнитном носителе;
— изменив информацию, эмбоссированную (выдавленную) на лицевой стороне;
— проделав и то, и другое;
— подделав подпись законного держателя карточки.
Кредитная информация, используемая при изготовлении поддельных кредитных карточек, может собираться в различных странах мира. Наиболее часто используются данные из Канады, Соединенных Штатов Америки, стран Европы, а также из азиатского региона.
Операции с украденными или утерянными картами
Мошенническое использование украденных кредитных карточек остается наиболее распространенным преступлением. Методы противодействия кражам и мошенническому использованию пластиковых карточек совершенствуются годами, однако в настоящее время компании предпочитают выпускать недорогие карточки с целью уменьшения суммы возможных убытков от их незаконного использования. Когда суммы убытков резко возрастают, компании предпринимают усилия по введению новых мер безопасности.
В случае похищения карточки при пересылке ее по почте особенность мошенничества заключается в том, что владелец не знает об утрате карточки. Предотвратить хищение при этом способе мошенничества очень сложно.
Преступники располагают многочисленными способами использования украденных карточек. Организованные преступные группы платят от 100 до 500 долларов США за украденную карточку в зависимости от того, подписана она или нет, как давно украдена, находится ли она в списках украденных, как долго она использовалась законным владельцем, вычерпан ли лимит, есть ли дополнительные документы, удостоверяющие личность.
Как снять деньги с карты без пин кода и смс подтверждения
Согласно условиям договора клиент не должен передавать карту третьим лицам для пользования. В случае утери сотрудники банка советуют позвонить в банк и заблокировать счет. Если этого не сделать, злоумышленник может воспользоваться картой и получить деньги. Рассмотрим, как снять деньги с чужой карты могут мошенники и что они делают для получения необходимой информации.
Мошеннические схемы по снятию денег
Злоумышленники знают, как снять деньги с карты без пин кода. При этом им не всегда нужен сам пластик, в большинстве случаев достаточно только данных, которые по финансовой безграмотности клиент может отправить сам. Предлагаем ознакомиться с их схемами, которые работают, если расчетный счет не заблокирован. Это поможет защитить себя от потери денег.
| Сайты-двойники | Мошенники создают сайты двойники, на котором можно перевести деньги с карты на карту. Клиент вводит данные и подтверждает перевод путем ввода смс-кода. В итоге деньги перечисляются на виртуальный счет злоумышленника. В результате этого сотрудники Сбербанка рекомендуют переводить деньги только через официальные сайты. |
| Оплата товаров | Ежедневно оплачиваются товары и услуг через интернет. Чтобы деньги не были похищены мошенниками, стоит пользоваться услугами проверенных компаний. |
| Создание копии | В этом случае устанавливается специальное устройство в банкомат, которое считывает все данные и пин-код. Также пластик могут сфотографировать, если она передана для оплаты услуги или товара (к примеру, в кафе дали официантке, которая отошла к устройству для проведения платежа). После изготавливается копия, с которой списываются деньги. Чтобы этого не произошло, следует пользоваться банкоматами, которые установлены при банке и не давать пластик третьим лицам. |
| Вирусные приложения | Злоумышленники рассылают через мессенджеры «заманухи», перейдя на которые клиент сам того не замечая скачивает приложение. Оно считывает пароли и логины от карты или иных аккаунтов. Таким способом мошенник может войти в интернет-банк, поменять телефон для оповещений и перевести деньги на другой счет. |
| Кража информации со сторонних сайтов | При оплате товаров следует указать данные с лицевой и оборотной стороны пластика. Многие компании сохраняют сведения, которые могут попасть злоумышленнику. Поэтому сотрудники банка советуют платить в интернете с отдельного счета, который каждый раз пополнять на сумму покупки. Так деньги будут в сохранности. |
| Продажа товара | Актуален для тех, кто продает товар через доску бесплатных объявлений. Мошенник откликается на объявление и просит сообщить все данные счета для отправления денег. После получения данных просит сообщить код из смс, для подтверждения оплаты. |
Получается, мошенники изобрели несколько вариантов, как снять деньги с карты без смс. Чтобы этого не произошло, следует не сообщать платежные данные третьим лицам и хранить сведения в секрете.
Откуда злоумышленники берут данные карты
Злоумышленники знают, как снять деньги с карты Сбербанка без пин кода, в результате заинтересованы в получении данных с пластика. Поскольку банковские системы хорошо защищены, они пользуются финансовой безграмотностью клиентов.
Схемы получения информации:
Специалисты банка рекомендуют сохранять спокойствие, и ни при каких обстоятельствах не отправлять данные карты. Важно знать, что специалисты банков не звонят клиентам с целью получения секретной информации.
Что можно сделать с чужой картой, если нашли?
Если карта найдена на улице, не стоит думать, как снять деньги с найденной карты. Снимая деньги, нарушается закон по статье мошенничество. Самые правильные действия, это:
Важно знать, что в рамках закона вы можете пройти мимо и не поднимать карту.
Наказание за кардинг и содействие ему
Кардинг – это вид мошенничества, при котором операция осуществляется с использованием карты или ее реквизитов. Наказание за кардинг предусмотрено 159.3 УК РФ (Мошенничество). Мошенником признается человек, который не только обманным путем получил карту или ее данные, но и воспользоваться ими в личных целях. При этом неважно, производилась оплата в магазине или снимались деньги иным путем.
Если деяние совершено группой лиц, но наказание увеличивается. Наказание выносится по решению суда.
Как уберечься от мошенников
Чтобы не потерять деньги со счета, нужно учитывать несколько правил пользования.
Как уберечься от злоумышленников:
Можно ли снять деньги, зная только номер карты?
Таким способом может получить наличные только владелец счета. Для этого нужно обратиться в банк с паспортом.
Что делать если позвонили из службы безопасности сбербанка и просят данные карты?
Важно учитывать, что специалисты Сбербанка не звонят клиенту с подобными вопросами. Они имеют право сами заблокировать счет до выяснения обстоятельств. При получении звонка нужно его прекратить и позвонить по номеру 900, для получения дальнейших инструкций от сотрудника Сбербанка.
Что делать если случайно снял деньги с чужой карты?
Потребуется обратиться в банк и вернуть деньги. Если этого не сделать, будет предъявлено наказание по факту мошенничества.
Стоит ли заводить отдельную карту для интернет-платежей?
Да, это поможет избежать факта мошенничества и позволит сохранить средства на основном счете. Можно открыть виртуальный бесплатный счет.
Как снять деньги с карты без пин-кода
Вообще-то ответить на вопрос как снять деньги с карты без пин-кода довольно сложно, особенно если вы хотите сделать через банкомат. Если, вы являетесь владельцем этой банковской карты, то не пытайтесь вспомнить пароль, подбирая комбинации цифр, иначе после трех неправильных попыток ваша карта заблокируется. В данном случае вам лучше обратится в банковское отделение с целью смены пароля карты.
Также вы можете подойти в отделение банка, выдавшего вам карту с пластиком и паспортом и снять все средства и затем сменить пароль карты. Это легальные методы снятия денег с карты не зная пин-кода.
Однако не только владельцы карт интересуются данным вопросом. Мошенники чаще всего задаются вопросом как снять деньги с чужой карты. Несмотря на старание банков, сейчас это возможно. И при этом существует немало способов для воплощения подобных действий.
Как быстро снять деньги с чужой карты
Злоумышленник с целью снятия финансовых средств может воспользоваться одним из ниже приведенных способов:
Снять деньги с карты без пин-кода через интернет
К сожалению, это далеко не все методы которыми может воспользоваться злоумышленник. Многих из данной категории людей интересует также вопрос: как снять деньги с карты сбербанка без пин кода через интернет, приложив при этом минимум усилий. В этом случае также есть несколько вариантов.
Оплата товаров
Расплатится картой в интернет-магазинах. Для этих целей, как правило, достаточно тех данных которые уже имеются на самом пластике. К ним относятся: имя владельца, номер пластика, а также три цифры, указанные на обратной стороне, так называемый CVV-код, который собственно и предназначен для проведения платежей в сети;
Создание копии карты
Сканирование магнитной ленты и изготовление копии пластика. Конечно же это технически сложный, но все возможный метод, которым пользуются многие злоумышленники. Это делается посредством специального оборудования, способного считать саму карту и увидеть ее пароль. Такое можно проделать либо в ненадежных магазинах или отдаленных от оживленных улиц банкоматах. Потому картой лучше пользоваться в крупных торговых центрах, где постоянно ведется видеонаблюдение.
Вирусные приложения
Снятие финансовых средств с карты, с помощью специальных приложений-вирусов. На гаджет (смартфон, планшет) может быть незаметно установлено приложение считывающие пароль и логин входа в интернет-банкинг и блокирует смс-сообщение, которое приходит на номер, используемый на смартфоне. Данным образом деньги с карты могут списываться, а владельцу не придет уведомление об совершенных операциях. Для того чтобы обезопасить себя от таких ситуаций нужно установить на гаджет специальную антивирусную программу.
Перевод средств с чужой карты на свою
Перечисление денег с украденной карты на свою. Такое также возможно, особенно если использовать специальные программы для входа на страницу интернет-банкинга владельца карты.
Кража личных данных со сторонних сайтов
Использование ваших данных. К примеру, при оплате гостиничного номера вы должны указать все данные карты, включая секретный код, размещенный на обратной стороне. А этих данных вполне достаточно для снятия финансовых средств с карты. Злоумышленники чаще всего снимают изначально незначительные суммы денег в пределах 500 рублей, рассчитывая на то что владелец просто не обратить на это внимание.
Перекрестные ссылки
К примеру, вы проводите операции в интернет-банкинге, и заходя на свою интернет страницу вводите все данные карты в том числе логин и пароль. Однако при этом вы можете попасть не на реальную страницу банка, а на сайт злоумышленников, которые зная всю вышеперечисленную информацию легко смогут воспользоваться вашими деньгами, которые лежат на карте. И при этом совсем не обязательно знать пин-код.
Следует отметить, что это касается всех карт не только Сбербанка. Потому нужно быть очень внимательным при использовании пластика, чтобы не остаться без денег.
Что можно сделать с банковской картой
Существую разные алгоритмы действий в случае, если вы нашли чужую пластиковую карту:
Однако злоумышленники, как правило, поступают иначе и первый вопрос который их интересует это как снять деньги и что за это будет. Снять деньги можно выше описанными методами, однако такие действия незаконны, а значит за это предусматривается уголовная ответственность. И первое на что нужно обратить внимание, собираясь пойти на такое преступление это статья 159 УК РФ — мошенничество с банковскими картами, за которое можно получить немалый срок тюремного заключения. Соответственно снимать деньги с чужой карты все же не стоит, во избежание серьезных проблем с законом.
Как уберечься от мошенников
Теперь, вы знаете как можно снять деньги с банковской карты даже не зная пин- кода, а значит сможете принять определенные меры, чтобы с вами этого не случилось. Наведем несколько из них:
В настоящее время существует немало способов того как снять деньги с пластиковой карты любого банка не зная пин-кода. При этом имеются как легальные, так и не легальные методы. В первом случае вы обращаетесь в банк с паспортным документом и картой для снятия средств и смены пин-кода. В втором же случае деньги с карты снимаются мошенниками без ведома владельца пластика. Причем сделать это можно как с помощью обычных стационарных магазинов, банкоматов, так и с помощью интернет-сети, пользуясь специальными приложениями-вирусами.
Следует помнить, что такие действия незаконны и соответственно за них предусматривается уголовная ответственность в виде лишения свободы на определенный отрезок времени, который определяется исходя из тяжести преступления и суммы украденных средств.
Владельцам же пластиковых карт, следует быть очень осторожными проводя операции в интернет-сети или же расплачиваясь в стационарных магазинах, а также при снятии наличных в банкоматах.
Способы взлома банковских карт
Практически все современные банковские карты снабжены специальным чипом, на котором хранится необходимая для платежей информация.
В сегодняшней статье я расскажу о способах мошенничества с такими картами, а также о применяемых банками методах противодействия кардерам.
Чиповое легаси
Один из видов информации, содержащейся на чиповой карте, — это так называемый Track2 Equivalent. Он практически один в один повторяет содержимое магнитной полосы и, скорее всего, служит в качестве параметра идентификации карты в системах HSM и других подсистемах карточного процессинга.
Один из видов атак, которые время от времени проводятся злоумышленниками, подразумевает запись данных Track2 Equivalent на магнитную полосу, после чего мошеннические операции проводятся либо как обычные транзакции по магнитной полосе, либо в режиме technical fallback. Для хищения таких данных из банкоматов используются так называемые шиммеры.
Шиммер — устройство для незаметного снятия данных при использовании чиповых карт в банкоматах
В одной из статей о шимминге упоминается, что в 2006 году, в самом начале выпуска чиповых карт, в Великобритании поле Track2 Equivalent содержало в себе оригинальный CVV2/CVC2. Из‑за этой ошибки было легко создавать клоны магнитных полос карт, по которым оплата происходила с помощью чипа. Тогда платежные системы решили использовать разные seed при генерации полей CVV2/CVC2 на магнитной полосе и в поле Track2 Equivalent. Казалось бы, задача решена — значение секретного поля CVV2/CVC2 на магнитной полосе не совпадает с тем, что записано на чипе. Но шимминг жив и по‑прежнему процветает. Почему?
Многие банки до сих пор одобряют транзакции со считанными с чипа значениями CVV2/CVC2! Об этом часто упоминает Visa и почти не пишет MasterCard. Одна из причин, по моему мнению, — практически во всех картах MasterCard CVC2 в Track2 Equivalent равен 000. Для русских карт это также неактуально: среди протестированных мной за два года десятков банков я не нашел ни одной карты, где эта атака была бы возможна. Тем не менее стоит отметить, что подобные атаки популярны в Америке.
Чем это чревато? Хакер мог бы подменить поле Service Code, указывающее, что карта не содержит чипа, и сверка целостности этого поля была бы невозможна, потому что любой CVC2 принимался процессингом. Уязвимость, очень сильно похожая на следующую в списке, была быстро устранена после письма в банк.
По моей статистике, 4 из 11 карт были подвержены подобным атакам.
Бразильский хак
Под этим термином понимают несколько видов атак, в том числе атаку на офлайн‑терминалы, описанную «Лабораторией Касперского». О самой массовой атаке c таким названием рассказывал Брайан Кребс. В чем суть нашумевшей атаки?
В начале 2010-х чиповые карты наконец‑то получили широкое распространение в США. Несколько банков начали выпускать такие карты. Стоит заметить, что до сих пор самая распространенная чиповая схема в США — это не Chip & PIN, а Chip & Signature. Владельцу подобной карты не надо вводить ПИН‑код, а нужно только вставить карту в считыватель и подтвердить транзакцию подписью на чеке. Почему эта схема так прижилась — расскажу дальше.
Как мне кажется, где‑то в этом процессе произошла инсайдерская утечка информации, и хакеры узнали, что чиповая транзакция вроде и проходит, но не проверяется на стороне банка‑эмитента. Банк просто брал поле Track2 Equivalent и проводил идентификацию, как если бы это была обычная транзакция по магнитной полосе. С несколькими нюансами: ответственность за мошенничество такого рода по новым правилам EMV Liability Shift теперь лежала на банке‑эмитенте. А банки‑эмитенты, не до конца понимая, как работали такие карты, не вводили сильных ограничений на «чиповые» транзакции и не использовали системы антифрода.
Быстро сообразив, что из этого можно извлечь выгоду, кардеры стали открывать мерчант‑аккаунты и, используя купленные на черном рынке данные магнитных полос Track2, совершали сотни транзакций «чипом». Расследование заняло годы, и к моменту его окончания мошенники уже скрылись. Суммы потерь не разглашаются, однако очевидно, что они были существенными. Самое печальное, что с тех пор жители стран Латинской Америки рыщут по всему свету в поисках «белых китов» и активно тестируют банки, пытаясь найти другой такой же неотключенный отладочный интерфейс.
Cryptogram Replay и Cryptogram Preplay
«В дикой природе» подобная атака наблюдалась лишь единожды. Она была задокументирована и описана (PDF) в исследовании известных специалистов из Кембриджского университета.
Суть атаки заключается в обходе механизмов, обеспечивающих уникальность каждой транзакции и криптограммы. Атака позволяет «клонировать транзакции» для дальнейшего использования уже без доступа к оригинальной карте. В первой части уже рассказывалось, что на входе карта получает определенный набор данных: сумма, дата транзакции, а также два поля, обеспечивающих энтропию, даже если сумма и дата одинаковые. Со стороны терминала энтропию 2 32 обеспечивают 4 байта поля UN — случайного числа. Со стороны карты — ATC-счетчик операций, увеличивающийся каждый раз на единицу. Псевдофункция выглядит примерно так:
Если одно из полей меняется, изменяется и выходное значение криптограммы. Однако что произойдет, если все поля останутся прежними? Значит, и прежняя криптограмма останется валидной. Из этого следуют две возможности атак на чиповые транзакции.
Схема атаки Cryptogram Replay
Эта атака интересна с исторической точки зрения развития протокола EMV. Когда протокол создавался, поле ATC было создано специально для защиты от подобных атак.
Банк‑эмитент должен был проверять значение поля ATC, и, если эти значения приходили не по порядку, с заметными скачками, подозрительные транзакции отклонялись.
Рассмотрим пример: клиент банка садится в самолет, расплачивается в самолете картой с использованием офлайн‑терминала. Далее самолет приземляется, и клиент расплачивается картой в отеле. И только после этого используемый в самолете терминал подключается к сети и передает данные о транзакциях. В таком случае будет зафиксирован скачок ATC, и, следуя правилам платежных систем, банк мог бы отклонить абсолютно легитимную транзакцию. После нескольких подобных эпизодов платежные системы внесли коррективы в их требования по «скачкам ATC»:
При этом за бортом изменений остался первый сценарий — cryptogram replay. Если карточный процессинг спроектирован корректно, нет ни одного разумного объяснения ситуации, когда один и тот же набор данных (Cryptogram; UN; ATC) поступает на вход много раз и успешно одобряется банком. За последний год я отправил информацию об этой атаке более чем в 30 разных банков и получил достаточно широкий спектр ответов.
В некоторых случаях неправильное проектирование сервисов процессинга приводит к тому, что банк не может просто заблокировать операции с одинаковыми значениями. Также стоит отметить, что в «дикой природе» я не встречал терминалы, которые возвращали бы одинаковое значение поля UN. То есть злоумышленникам приходится использовать их собственные терминалы, что делает отмывание денег более сложным.
Кроме того, даже офлайн‑аутентификация не всегда помогает: ее можно обойти либо предположить, что источник UN скомпрометирован и в ней. В этом случае можно заранее высчитать результирующие значения схем аутентификации DDA/CDA для предсказуемого поля UN.
Статистика показывает, что 18 из 31 банковской карты подвержены атакам replay/preplay в отношении контактного или бесконтактного чипа. При этом в России я не смог найти ни одного уязвимого для этого типа атак банка, что крайне любопытно.
PIN OK
Пожалуй, это самая известная атака на чипы. Первые теоретические предпосылки к этой атаке команда из Кембриджа описала в 2005 году в исследовании Chip and Spin, за год до того, как стандарт EMV получил распространение в Великобритании. Но повышенное внимание к этой атаке возникло гораздо позднее.
В 2010 году выходит полноценное исследование кембриджской четверки, посвященное атаке PIN OK. Для этой атаки они использовали устройство, реализующее технику «человек посередине» между чипом карты и ридером терминала.
Устройство для реализации техники «человек посередине»
В 2011 году на конференциях Black Hat и DEFCON группа исследователей из Inverse Path и Aperture Labs представила больше информации об этой атаке. Тогда же, в 2011 году, организованная преступная группировка использовала 40 украденных банковских карт для совершения 7000 мошеннических транзакций, в результате которых было украдено 680 тысяч евро. Вместо применявшимся исследователями громоздкого устройства преступники воспользовались маленьким незаметным «вторым чипом», установленным поверх оригинального, что позволяло эмулировать атаку в реальных условиях.
В декабре 2014 года исследователи из Inverse Path снова подняли тему атак на транзакции EMV и представили [немного статистики, собранной ими за три года (PDF). В 2015 году было выпущено детальное техническое исследование атаки (PDF), совершенной неизвестными злоумышленниками в 2011 году.
Давай рассмотрим технические детали этой атаки. Для ее реализации, напомним, нужно использовать технику man in the middle. Карта передает терминалу поле CVM List (Сard Verification Method) — приоритетный список методов верификации владельца карты, поддерживаемых картой. Если первое правило на карте «офлайн‑ПИН шифрованный/нешифрованный», на этом этапе ничего не происходит. Если первое правило другое, то во время атаки первое правило подменяется на «офлайн‑ПИН».
Затем терминал запрашивает у владельца карты ПИН‑код. Правило «офлайн‑ПИН» означает, что ПИН‑код будет передан карте для сверки в открытом или шифрованном виде. В ответ карта либо ответит 63C2 «Неверный ПИН, осталось две попытки», либо 9000 «ПИН ОК». Именно на этом этапе злоумышленник, внедрившийся в процесс авторизации, заменит первый ответ вторым.
На данном этапе терминал считает, что ПИН введен корректно, и запрашивает у карты криптограмму (запрос Generate AC), передавая ей все запрашиваемые поля. Карта знает, что ПИН либо не введен совсем, либо введен некорректно. Но при этом карта не знает, какое решение дальше принял терминал. Например, есть терминалы, которые при вводе некорректного ПИН‑кода просят держателя карты поставить подпись на тачскрине — делается это для его же комфорта. Поэтому, когда терминал запрашивает криптограмму, карта отдает ее. В ответе содержится поле CVR — Card Verification Results, которое указывает, был ли проверен ПИН‑код картой или нет. Более того, это поле является частью платежной криптограммы, и подменить его значение злоумышленникам не удастся: попытка приведет к ошибке сверки криптограммы на HSM.
Терминал отсылает все данные в пакете ISO 8583 Authorization Request банку‑эквайеру, затем они поступают банку‑эмитенту. Банк видит два поля: CVMResults, которое указывает, что в качестве метода верификации был выбран офлайн‑ПИН и что терминал поддерживает этот метод верификации. Но еще банк видит, что карта НЕ приняла ПИН‑код либо что он был введен некорректно. И несмотря ни на что, одобряет транзакцию.
Если карта использует схему аутентификации CDA и злоумышленникам необходимо подменить первое правило CVM list, офлайн‑аутентификация будет завершена с ошибкой. Однако это всегда обходится подменой полей Issuer Action Code. Подробности данного случая описаны в последней версии презентации от 2014 года экспертами из Inverse Path.
Также в первом исследовании от 2011 года специалисты показали, что стандарт EMV позволяет не отклонять транзакции на платежном устройстве, даже если безопасные методы аутентификации и верификации не сработали, а идти дальше, каждый раз выбирая менее безопасные методы (так называемый fallback). Это открывает перед злоумышленниками другие возможности, включая атаки на похищение ПИН‑кода во время операций на скомпрометированных POS-терминалах.
Заключение
Интересная статистика за последний год: несмотря на то что еще в 2010-м «настоящие безопасники» из банков умилялись тому, как кто‑то не следит за очевидными проблемами карточного процессинга, в 2020 году все примерно так же плохо. Статистика проверок за прошлый год показала, что 31 из 33 карт банков с разных уголков Земли, включая российские, уязвима к этой атаке.
В следующей статье я рассмотрю схемы атак на бесконтактные карты и связанные с ними приложения — мобильные кошельки.