Przestępcy potrafią już tworzyć fałszywe chipowe karty płatnicze

dodał 24 lipca 2015 o 15:27 w kategorii Błędy  z tagami:
Przestępcy potrafią już tworzyć fałszywe chipowe karty płatnicze

Cyberprzestępcy odnaleźli luki w standardzie EMV które otworzyły im drogę do klonowania kart z chipami, do tej pory uchodzącymi za bezpieczne. Gra jest warta świeczki, gdyż w rozwiniętej pod tym względem Europie mowa o ponad 80% wydanych kart.

Cały świat dąży do wyeliminowania kart wyposażonych w paski magnetyczne, które są skutecznie klonowane przez przestępców i wykorzystywane do transakcji płatniczych. Europa odniosła w tym obszarze spory sukces – ponad 80% kart w obiegu to karty z chipem, które potrafi obsłużyć już ponad 94% terminali. Warto także pamiętać, że choć karty wyposażane są już w chipy, to ciągle – ze względu na kompatybilność ze starszymi terminalami i bankomatami – posiadają także pasek magnetyczny.

Stany Zjednoczone są w tych zawodach jeszcze daleko za Europą i choć w teorii 1 października 2015 wszystkie terminale maja obsługiwać standard EMV, już teraz mówi się o przesunięciu tego terminu. Jest to też ważny termin dla przestępców, którzy będą mieli utrudnione działanie w momencie gdy paski magnetyczne znikną z obiegu. Według firmy Inteller w sieci pojawiają się informacje wskazujące na fakt, że przestępcy zaczęli wdrażać w życie ataki na karty w standardzie EMV wcześniej uważane za jedynie teoretyczne zagrożenie.

Mamy więc potrzebę

Karty EMV posiadają trzy różne standardy uwierzytelniania (CAM – Card Authorization Methods):

  • statyczną (SDA – Static Data Authentication),
  • dynamiczną (DDA – Dynamic Data Authentication),
  • łączoną (CDA – Combined Data Authentication).

Są one niezbędne w celu wykorzystania karty w trybie offline (bez połączenia z serwerem banku) i zapewniają, że użyta karta nie została sfałszowana. Metody uwierzytelniania karty bez kontaktu z jej wystawcą bazują na kryptografii asymetrycznej z wykorzystaniem algorytmu RSA i sprowadzają się do weryfikacji podpisu elektronicznego zapisanego na karcie. W przypadku najprostszej z metod – statycznej – dochodzi jedynie do uwierzytelnienia danych zapisanych na karcie. Co ważne, dane niezbędne do uwierzytelnienia karty w standardzie SDA nie zmieniają się przy każdej kolejnej transakcji (w przypadku DDA i CDA uwierzytelnienie jest bardziej złożone i wymaga wykorzystania danych zarówno z terminala jak i z karty) i tutaj właśnie swoją szansę odnaleźli przestępcy.

Nie jest łatwo

Warunkami niezbędnymi do poprawnego wykorzystania odkrytej przez fałszerzy luki są:

  • terminal w trybie offline (gdyż w przypadku trybu online terminal każdorazowo komunikuje się z wydawcą w celu potwierdzenia karty i łatwo można wykryć fałszywkę)
  • karta w standardzie SDA  (który najczęściej powiązany jest z konkretnym wydawcą karty, identyfikowanym za pomoca numeru BIN – bank identification numer).

Warunki te sprawiają, że nowa metoda klonowania kart ma ograniczony zakres działania i cyberprzestępcy obecnie metodą prób i błędów tworzą listę banków oraz krajów/typów terminali które są podatne.

A co z kodem PIN?

W pierwszej kolejności musimy zaznaczyć, że to, co robią przestępcy, nie jest klonowaniem sensu stricto – wykonanie kopii zawartości chipa nadal pozostaje poza zakresem ich możliwości. Potrafią natomiast wgrać na kartę chipową dane pochodzące z paska magnetycznego i przeprowadzić dowolną transakcję przy spełnieniu założeń z poprzedniego akapitu. Korzystając z tej metody fałszerze mogą ustalić dowolny PIN na karcie, a transakcja i tak zostanie zrealizowana.

Aplikację drogo sprzedam

Aplikacje które potrafią wgrywać dane z pasków magnetycznych w różnej szacie graficznej oraz z dodatkowym wsparciem technicznym w wersji Premium można kupić za kilka tysięcy dolarów.

Oferta sprzedaży aplikacji wraz z supportem

Oferta sprzedaży aplikacji wraz z supportem

Okno aplikacji

Okno aplikacji

Mają one również zaszyte w sobie numery BIN przetestowane i potwierdzone w działaniu przez cyberprzestępców. Niestety nie wiemy czy na liście znajdują się polskie banki. Według dostępnych informacji na liście zidentyfikowanej przez przestępców znajdują się karty używane w Indiach, Japonii, Meksyku, Brazylii, Korei oraz w krajach arabskich a także niektóre banki z USA czy Wielkiej Brytanii.

Podatne kraje

Podatne kraje

Podatne terminale również w Londynie

Podatne terminale również w Londynie

Przestępcy wskazują na większą częstotliwość występowania kart wyposażonych jedynie w mechanizm SDA w krajach o niskim poziomie rozwoju. Technologia ta nie wymaga stosowania kart wyposażonych w koprocesor kryptograficzny, co wpływa na ich cenę. Również terminale offline występują tam częściej ze względu na słabą dostępność infrastruktury sieciowej.

Wygląda zatem na to, że karciani przestępcy, przestraszeni wizją spadków zysków płynących z wyeliminowania pasków magnetycznych szybko znaleźli nowe metody prowadzenia swojej działalności.