Недавно проведенное исследование специалистов Кембриджского университета в Великобритания произвело в Европе эффект разорвавшейся информационной бомбы. Оказывается несколько сот миллионов платежных смарт-карт содержат уязвимость, используя которую киберпреступники могут совершить практически любую банковскую транзакцию. Важная деталь: при этом знать правильный пин-код украденной (или потерянной) карты вовсе не требовалось!
Чтобы пояснить, как это делалось - немного теории. Платежные смарт-карты стандарта EMV (Europay, MasterCard, Visa) содержат микросхему, которая проверяет корректность вводимого пин-кода, состоящего из четырех знаков. Также EMV-стандарт предусматривает альтернативный способ подтверждения транзакции: т.е. не пин-кодом, а подписью владельца карты.
Так вот, британские эксперты выяснили, что EMV-протокол содержит уязвимость, которая позволяет злоумышленнику обмануть платежную систему. Т.е. фактически киберпреступник как бы "заставит" платежную систему считать, что авторизация произведена подписью. Хотя на практике вводится любой пин-код. Подчеркнем: любой! На практике взлом производится так.
Если украденная или потерянная (но обязательно рабочая) карта попала в руки киберпреступника, то последний, не мешкая, вставляет карту в устройство чтения, которое подсоединено к ПК. На этом компьютере запущена управляющая программа, которая контролирует работу программируемой пользователем вентильной матрицы (FPGA). В свою очередь, эта матрица подключена к переносному платежному терминалу. В данный терминал вставлена другая карта - на сей раз поддельная, но внешне она абсолютно ничем не отличается от настоящей.
Далее, для того, чтобы осуществить транзакцию, хакер вводит любой пин-код. Таким образом, банковская система полагаtn, что авторизация производится подписью владельца. И списывает денежные средства с реальной рабочей карты.
Появление такой информации надлелало в Европе много шума. При этом появились заметки, в которых авторы утверждают, что громоздкого оборудования можно при желании избежать, если изготовить незаметную карманную систему, которая будет по беспроводному интерфейсу осуществлять обмен данными между настоящей и поддельной картами.
Но если отвлечься от споров хакеров и взглянуть на проблему со всей серьезностью, то из всего вышесказанного следует один неумолимый вывод: банки должны прекратить внушать своим клиентам сладкие сказки о полной безопасности системы платежных смарт-карт. Тем более, если учесть, что в настоящее время в мире насчитывается около 730 млн таких карт.
Читайте также
Последние новости