Производители банковских карт давно призывают пользователей полностью отказаться от карт с магнитной полосой в пользу чипованных. Технология EMV (Europay, MasterCard, Visa) предлагает дополнительный уровень безопасности при оплате на терминале, однако исследователи считают, что эта защита не так уж и надежна.

Эксперты NCR Corporation Нир Вальтман (Nir Valtman) и Патрик Уотсон (Patrick Watson) продемонстрировали на конференции Black Hat серию атак, направленных на обход системы chip-and-PIN.

Стандарт EMV призван сократить возможности для клонирования данных магнитной полосы или неправомерного использования похищенных или потерянных карт, но он не исключает вероятность похищения или модификации информации карты, даже если она содержит чип.

В ходе первой демонстрации хакеры использовали компьютер Wireshark на базе Raspberry Pi для перехвата пакетов данных из второй дорожки карты в реальном времени, заняв позицию «человек посередине». Wireshark смог перехватить данные, введенные на клавиатуре терминала, зараженного доступным itw образцом POS-зловреда. Исследователи не раскрыли название производителя терминала, но подчеркнули, что сообщили о проблеме и порекомендовали вендору использовать TLS, что, по словам неназванной компании, пока невозможно из-за использования устаревшей версии прошивки.

После исследователи показали, что карты с чипом все равно могут быть подвержены взлому.

Похищенные при помощи зараженного терминала данные могут быть проанализированы, что потенциально дает возможность скомпрометировать код подтверждения действительности карты для определенного вида операций и дату истечения его срока годности, произвольные данные и другие виды информации, при помощи которой злоумышленники могут определить, что карта содержит чип.

«Эти данные можно записать на магнитную полосу, и, если вы вводите офлайн-PIN, дополнительная защита вам не поможет», — заявил Уотсон.

«Офлайн-режим очень привлекателен для хакеров», — добавил Вальтман.

Коллеги продемонстрировали, как при помощи небольшого трюка заставить владельца карты ввести PIN или CVV-код заново.

«Пользователи доверяют терминалам EMV, так что потенциальных жертв можно «убедить» в том, что они неправильно ввели код», — сказал Вальтман.

Злоумышленники могут скомпрометировать клавиатуру на терминале, инфицировав последний зловредом типа Malform.FRM (который исследователи разработали специально для демонстрации) и получив физический доступ к терминалу.

Вальтман и Уотсон подчеркивают, что терминалам нужна стойкая криптозащита, а обновления должны приходить только из разрешенных источников. POS-терминалы обычно сертифицируются по PCI DSS, но этот стандарт не требует шифрования соединения при подключении к локальной сети, что и позволяет злоумышленнику совершить MitM-атаку.

Покупателям не стоит дважды вводить PIN, так как это признак возможной компрометации терминала. Вальтман отметил, что сам он предпочитает расплачиваться в магазинах при помощи Apple Watch, так как лично он считает, что эта платежная технология надежнее, чем EMV.

«EMV — хорошая технология, но не совсем безопасная», — заключил он.

Категории: Вредоносные программы, Главное, Уязвимости, Хакеры