Złamano zabezpieczenia PIN kart płatniczych?

W zasadzie nie zajmuję się kwestią bezpieczeństwa na tym blogu, jednak znaleziony artykuł wydał mi się tak ubogi, że postanowiłem dowiedzieć się czegoś więcej na ten temat.

Po przeczytaniu artykułu na ten temat w webinside jestem w kropce – czy napisał go ktoś, kto zadał sobie trud przeczytania źródła (pdf), które przytacza?

W tym artykule niestety nie ma nic ciekawego chyba, że jego celem jest fakt wywołania sensacji, czy czegoś w tym stylu. Dlatego przejrzałem pobieżnie ten artykuł i podstawowe wnioski są następujące:

Atak nie może być przeprowadzony podczas tzw. autoryzacji online
To znaczy, że atakujący nie wybierze Twoich pieniędzy w bankomacie. A to dlatego, że w tym rodzaju autoryzacji pin jest przesyłany do banku, tam weryfikowany, a z banku wraca odpowiedź “ok/nie ok” (opis w dużym uproszczeniu).

Atakujący potrzebuje współpracy sprzedawcy (z pewnym wyjątkiem)
Ten wyjątek, to znalezienie takiego punktu sprzedaży, gdzie sprzedawca nie dotyka karty klienta, a prosi o jej włożenie do terminala (w Krakowie spotkałem się z takim podejściem tylko na jednej stacji benzynowej). Dlaczego to jest potrzebne do ataku? Dlatego, że pomiędzy skradzioną kartą a terminalem musi zmieścić się sprzęt, który przechwyci komunikację karta<->terminal:

Schemat ataku na kartę z chipem

Schemat ataku na kartę z chipem (http://www.cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf)


Nawet jeśli tym urządzeniem ma być na przykład smartfon – gdzieś tam musi się pałętać kabelek, który musi zostać zauważony (w miejscach, gdzie klienci sami wkładają karty do terminali można te elementy ukryć na przykład w rękawie).

Karty z chipem były odpowiedzią na skimming – kopiowanie pasków magnetycznych. W wypadku skimmingu złoczyńca musiał jednocześnie skopiować pasek karty i poznać pin. Tutaj wystarczy zdobyć kartę. Możliwe jest przygotowanie zestawu, który umożliwia użycie karty zaraz po jej zdobyciu. Jednak jest jeden plus tej sytuacji – musisz fizycznie stracić tą kartę. Oczywiście jeśli ktoś Ci ją zwędzi w galerii, to zrobi zakupy na kilka tysięcy złotych. Jednak jeśli Ty też jesteś akurat na zakupach – w kolejnym sklepie możesz zauważyć jej brak (i ją zablokować).

Ale wydaje mi się, że odbiegam od tematu. Chciałem nieco uzupełnić mocno wybrakowany artykuł (wystarczyło 15 minut pomęczyć się z moim średnim angielskim nad oryginalnym artykułem. Chciałem też wiedzieć, czy sytuacja jest tragiczna, czy nie. No i moim zdaniem nie wygląda to beznadziejnie ;) Zatem pilnujcie swoich kart – zwykłe posiadanie głowy na karku powinno was ustrzec przed nowym rodzajem ataku.

Share Button

Leave a Reply

Your email address will not be published. Required fields are marked *