Przejdź na

Hakerzy wiedzą, jak zdalnie wykraść PIN i dane z paska przez terminale kart

Końcówka roku jest zawsze pyszna dla branży bezpieczeństwa –berliński Chaos Computer Club organizuje wówczas ChaosCommunication Congress, jedną z najciekawszych imprez związanych ztą tematyką. Już 27 grudnia znani niemieccy badacze pokazać mającoś, co może zatrząść operatorami elektronicznych płatności.Shopshiftingto technika, która ma dawać sobie radę z zabezpieczeniamipowszechnie wykorzystywanych w całej Europie terminali na PIN,pozwalając wykraść za ich pomocą dane z paska magnetycznego jak isam PIN – i w konsekwencji umożliwiając kradzież pieniędzy,przelewanych na dowolne konta.

Obraz
Adam Golański

O zagrożeniu mówią już niemieckie media. Strona internetowaprogramu telewizyjnego Tagesschau.de opublikowałapozbawiony większych szczegółów technicznych materiał oosiągnięciu Karstena Nohla i jego kolegów, którzy zdołaliwykorzystać luki w protokole komunikacyjnym terminali doniezauważonego dla ofiar „przekierowania” środków – i ogorączkowych zapewnieniach operatorów systemów płatności,zapewniających, że wszystko jest dobrze, a atak jest doprzeprowadzenia tylko w warunkach laboratoryjnych.

Czy aby na pewno? Hakerzy zapewniają, że podatne są praktyczniewszystkie terminale odczytujące pasek magnetyczny z zabezpieczeniemna PIN, które wykorzystują protokoły ZVT i Poseidon. Pierwszy zopracowanych ataków pozwala przechwycić wpisany przez ofiarę kodPIN i dane zawarte na pasku – w tym celu na terminal zostajewysłane poprawnie wyglądające, podpisane kryptograficznie żądaniePIN-u. W praktyce wystarczy zaczekać na moment, gdy ofiararozpoczyna swoją płatność, a następnie wysłać na terminal swójkod. Transakcja zakończy się niepowodzeniem, napastnik jednakbędzie miał wszystko, czego potrzebuje, by fałszować transakcje,wyprowadzając pieniądze z konta ofiary.

Dlaczego jednak terminal akceptuje sfałszowane żądanie? Otóżokazało się, że wszystkie terminale testowe, udostępnianesprzedawcom, używają tego samego klucza szyfrującego dla danegooperatora transakcji – i ten klucz udało się wydobyć po kilkutygodniach pracy. Mając taki klucz, można wyprowadzić atak nadowolny inny terminal danej sieci. Co najważniejsze, nie trzeba dotego mieć fizycznego kontaktu z urządzeniem, wiele takich terminaliłączy się z siecią np. poprzez lokalną sieć Wi-Fi (bo inne sąniedostępne), znaleziono też modele, które po prostu udostępniająpublicznie swoje webowe interfejsy.

Twoja przeglądarka nie obsługuje wideo HTML5Drugi z ataków wykorzystuje problem z identyfikatorami terminali.Jako że każde urządzenie ma ten sam klucz, to każdy terminal jestw stanie udawać każdy inny z danej sieci. Jak poznać identyfikatorterminala? Tak, dobrze myślicie. Wystarczy kupić jakiś drobiazg izapłacić za niego kartą. Na rachunku dostaniemy identyfikator wjawnej formie. Nawet jeśli jednak nie udałoby się go poznać,zawsze można zgadywać, tam nie ma żadnych sum kontrolnych, numerypo prostu kolejno rosną. Kto był takim geniuszem architekturysystemów, tego niestety nie wiadomo.

Wskutek tych błędów, napastnik jest w stanie zdalnie podszyćsię pod każdy z terminali – jak utrzymuje Nohl, w tym samymczasie, zabezpieczając swoją tożsamość przez Tora, możnaprzeprowadzić przelewy z setek tysięcy miejsc, na dowolne konto wNiemczech – a najprawdopodobniej nie tylko w Niemczech, gdyż ZVT iPoseidon są powszechnie używane na całym naszym kontynencie.

Szczęśliwie tym razem odkrycia dokonali ludzie w białychkapeluszach, a nie w czarnych, którzy swoje odkrycie wodpowiedzialny sposób przekazali bankom i operatorom płatności.Czasu na załatanie systemu jest mało. Nohl twierdzi, żekompetentny zespół cyberprzestępców jest w stanie odtworzyć atakw ciągu kilku miesięcy. Czy jednak faktycznie coś z tym odkryciemzostanie zrobione? Niemiecka organizacja operatorów systemówpłatności Deutsche Kreditwirtschaft nabrała wody w usta, twierdzijedynie, że sprawdziła doniesienia hakerów i jej system jestbezpieczny. Jak jest w rzeczywistości, przekonamy się zapewne wpierwszych miesiącach 2016 roku. O sprawie bowiem raczejcyberprzestępcy nie zapomną, opisany atak potencjalnie jest wstanie przynieść większe zyski, niż tradycyjny skimming kartpłatniczych w bankomatach, znacznie mniej przy tym rzucając się woczy.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
ZANIM WYJDZIESZ... NIE PRZEGAP TEGO, CO CZYTAJĄ INNI! 👇