24.07.2015 | 15:27

Marcin Rybak

Przestępcy potrafią już tworzyć fałszywe chipowe karty płatnicze

Cyberprzestępcy odnaleźli luki w standardzie EMV które otworzyły im drogę do klonowania kart z chipami, do tej pory uchodzącymi za bezpieczne. Gra jest warta świeczki, gdyż w rozwiniętej pod tym względem Europie mowa o ponad 80% wydanych kart.

Cały świat dąży do wyeliminowania kart wyposażonych w paski magnetyczne, które są skutecznie klonowane przez przestępców i wykorzystywane do transakcji płatniczych. Europa odniosła w tym obszarze spory sukces – ponad 80% kart w obiegu to karty z chipem, które potrafi obsłużyć już ponad 94% terminali. Warto także pamiętać, że choć karty wyposażane są już w chipy, to ciągle – ze względu na kompatybilność ze starszymi terminalami i bankomatami – posiadają także pasek magnetyczny.

Stany Zjednoczone są w tych zawodach jeszcze daleko za Europą i choć w teorii 1 października 2015 wszystkie terminale maja obsługiwać standard EMV, już teraz mówi się o przesunięciu tego terminu. Jest to też ważny termin dla przestępców, którzy będą mieli utrudnione działanie w momencie gdy paski magnetyczne znikną z obiegu. Według firmy Inteller w sieci pojawiają się informacje wskazujące na fakt, że przestępcy zaczęli wdrażać w życie ataki na karty w standardzie EMV wcześniej uważane za jedynie teoretyczne zagrożenie.

Mamy więc potrzebę

Karty EMV posiadają trzy różne standardy uwierzytelniania (CAM – Card Authorization Methods):

  • statyczną (SDA – Static Data Authentication),
  • dynamiczną (DDA – Dynamic Data Authentication),
  • łączoną (CDA – Combined Data Authentication).

Są one niezbędne w celu wykorzystania karty w trybie offline (bez połączenia z serwerem banku) i zapewniają, że użyta karta nie została sfałszowana. Metody uwierzytelniania karty bez kontaktu z jej wystawcą bazują na kryptografii asymetrycznej z wykorzystaniem algorytmu RSA i sprowadzają się do weryfikacji podpisu elektronicznego zapisanego na karcie. W przypadku najprostszej z metod – statycznej – dochodzi jedynie do uwierzytelnienia danych zapisanych na karcie. Co ważne, dane niezbędne do uwierzytelnienia karty w standardzie SDA nie zmieniają się przy każdej kolejnej transakcji (w przypadku DDA i CDA uwierzytelnienie jest bardziej złożone i wymaga wykorzystania danych zarówno z terminala jak i z karty) i tutaj właśnie swoją szansę odnaleźli przestępcy.

Nie jest łatwo

Warunkami niezbędnymi do poprawnego wykorzystania odkrytej przez fałszerzy luki są:

  • terminal w trybie offline (gdyż w przypadku trybu online terminal każdorazowo komunikuje się z wydawcą w celu potwierdzenia karty i łatwo można wykryć fałszywkę)
  • karta w standardzie SDA  (który najczęściej powiązany jest z konkretnym wydawcą karty, identyfikowanym za pomoca numeru BIN – bank identification numer).

Warunki te sprawiają, że nowa metoda klonowania kart ma ograniczony zakres działania i cyberprzestępcy obecnie metodą prób i błędów tworzą listę banków oraz krajów/typów terminali które są podatne.

A co z kodem PIN?

W pierwszej kolejności musimy zaznaczyć, że to, co robią przestępcy, nie jest klonowaniem sensu stricto – wykonanie kopii zawartości chipa nadal pozostaje poza zakresem ich możliwości. Potrafią natomiast wgrać na kartę chipową dane pochodzące z paska magnetycznego i przeprowadzić dowolną transakcję przy spełnieniu założeń z poprzedniego akapitu. Korzystając z tej metody fałszerze mogą ustalić dowolny PIN na karcie, a transakcja i tak zostanie zrealizowana.

Aplikację drogo sprzedam

Aplikacje które potrafią wgrywać dane z pasków magnetycznych w różnej szacie graficznej oraz z dodatkowym wsparciem technicznym w wersji Premium można kupić za kilka tysięcy dolarów.

Oferta sprzedaży aplikacji wraz z supportem

Oferta sprzedaży aplikacji wraz z supportem

Okno aplikacji

Okno aplikacji

Mają one również zaszyte w sobie numery BIN przetestowane i potwierdzone w działaniu przez cyberprzestępców. Niestety nie wiemy czy na liście znajdują się polskie banki. Według dostępnych informacji na liście zidentyfikowanej przez przestępców znajdują się karty używane w Indiach, Japonii, Meksyku, Brazylii, Korei oraz w krajach arabskich a także niektóre banki z USA czy Wielkiej Brytanii.

Podatne kraje

Podatne kraje

Podatne terminale również w Londynie

Podatne terminale również w Londynie

Przestępcy wskazują na większą częstotliwość występowania kart wyposażonych jedynie w mechanizm SDA w krajach o niskim poziomie rozwoju. Technologia ta nie wymaga stosowania kart wyposażonych w koprocesor kryptograficzny, co wpływa na ich cenę. Również terminale offline występują tam częściej ze względu na słabą dostępność infrastruktury sieciowej.

Wygląda zatem na to, że karciani przestępcy, przestraszeni wizją spadków zysków płynących z wyeliminowania pasków magnetycznych szybko znaleźli nowe metody prowadzenia swojej działalności.

Powrót

Komentarze

  • 2015.07.24 16:03 Kuba

    Kupiłem ten program, strasznie nieintuicyjna obsługa, poza tym muli na Mac OS. Nie polecam!

    Odpowiedz
    • 2015.07.24 16:07 Marcin Rybak

      podeślij proszę drivery do programatora na priv, bo mamy z tym problem na Macu :)

      Odpowiedz
    • 2015.07.24 20:46 Jan

      słaba prowokacja – przecież wiadomo że Mac jest zbyt profesjonalną maszyną aby zajmowac się takimi rzeczami – z maca się wydaje a nie zarabia – każdy profesjonalny fotograf, filmowiec i hipster ma maca – nie ma wśród nas złodzieji

      Odpowiedz
  • 2015.07.24 20:19 Mateusz

    Przydałaby się informacja o pochodzeniu tej infografiki na górze.

    Odpowiedz
    • 2015.07.24 22:00 Marcin Rybak

      zaginęlo w akcji, poprawione, dzięki

      Odpowiedz
  • 2015.07.24 22:55 Andrzej

    Z tego co się orientuję, to ta „luka” w SDA znana jest już od co najmniej trzech lat. Ponadto w PL przeprowadzenie takiego ataku jest niemal niemożliwe gdyż w zasadzie nie mamy terminali offlineowych. Wydaje mi się też, że karty wydane w PL nie wspierają SDA, ale akurat tego nie jestem pewien…

    Odpowiedz
    • 2015.07.24 23:01 Marcin Rybak

      zgadza się, było to wiadome na etapie implementacji rozwiązania i jest to ryzyko które było brane pod uwagę, natomiast tak jak wspominamy w trzecim akapicie, do tej pory ta podatność nie była skutecznie wykorzystywana, właśnie ze względu na warunki jakie muszą zostać spełnione aby się to powiodło. Jak widać, zaczęło sie to opłacać, na tyle, że metodą prób i błedów próbują znaleźć podatne pary wydawca+terminal.

      Odpowiedz
  • 2015.07.25 18:32 Przemko

    > Przestępcy wskazują na większą częstotliwość występowania kart wyposażonych jedynie w mechanizm SDA w krajach o niskim poziomie rozwoju. Technologia ta nie wymaga stosowania kart wyposażonych w koprocesor kryptograficzny, co wpływa na ich cenę.

    Klasyka, jeśli nie można biednego zmusić do dobrowolnego płacenia więcej to się go okradnie.

    Odpowiedz
  • 2015.07.25 21:25 Tomasz

    Z tego co mi wiadome to w PL kartonikach jest zmienne RSA oraz wystepuje tzw boxkey maszyny na ktorej odbywala sie tranzakcja. Ogolny system jest prosty bo z info no public da sie skolonowac karte i uzywac klona gdzie oryginal przestanie dzialac

    Odpowiedz
  • 2015.07.25 23:44 Rozbawiony

    Litosci. NIE MA na rynku konsumenckim systemu, ktory nie mialby backdoorow… ups… przepraszam: luk i bledow. Po prostu nie ma i tyle.

    Odpowiedz
    • 2015.07.27 00:20 hhhhh

      lub po prostu „ficzerów”.

      Kiedyś kasety VHS wygrały bo zostały zaakceptowane przez branżę porno. Dziś czasy się zmieniły i to nie żadna firma prywatna, branża czy „wolny rynek” decyduje o tym jakie rozwiązania kto wprowadzi. Decydują o tym rządy,a w zasadzie jeden, ten z USA i jego trzyliterowe macki. I tak oto powstają orakle, jawy i inne tego typu wynalazki, które niby nie są przymusowe, ale w zasadzie na wszystkim muszą być zainstalowane. A wraz z rozwojem Internetu rzeczy będzie tylko gorzej.

      Odpowiedz
  • 2015.07.27 09:58 Ninja

    „Przestępcy” to ci, którzy te karty wydają, a nie ci, którzy je podrabiają.

    „Give a man a gun and he will rob a bank; give a man a bank and he will rob the world”.

    Im więcej bank traci, tym lepiej.

    Odpowiedz
    • 2015.07.27 11:44 Sven

      Bank nie traci jakichś fikcyjnych pieniędzy grubych ryb, tylko dokładnie forsę którą zostawiają mu ciężko pracujący ludzie. Można sobie wycierać gębę sloganami walki o sprawiedliwość społeczną, ale okradasz ludzi w ten sam sposób co piłując im kłódki w piwnicach

      Odpowiedz
      • 2015.07.27 12:01 Marcin Rybak

        Nie słyszałem jeszcze by którykolwiek z banków pisał w specyfikacji wydawanej karty czy wspiera ona DDA lub CDA. Ludzi to nie interesuje, a bankom na tym nie zależy by się interesowali, gdyż zmniejszają swoje koszty w produkcji kart płatniczych.
        Problem jest również w świadomości ludzi, część „świadoma bardziej” uważa, że pasek i zbliżeniowo = niebezpieczny, PIN + chip = bezpieczny, a tak nie jest.

        Odpowiedz
  • 2015.07.27 12:48 Anonim

    Jako osoba produkująca na co dzień takie karty, i to legalnie, zapewniam że artykuł jest spóźniony o jakieś 2 lata. Mniej więcej wtedy VISA i Mastercard zakazały już w Europie i Azji produkcji jakichkolwiek kart z SDA. Bodajże pod koniec zeszłego roku zakazono tego w amerykach (ale nie pamiętam czy w USA to już też nie było wcześniej) i pozostałych cześciach świata. Tak więc jeśli nie mamy jakiejś karty od lat która to karta ma wiele lat ważności to jest ona wyprodukowana z DDA a nie SDA. Każda nowa karta lub wymieniana na nową na pewno ma DDA.

    Odpowiedz
    • 2015.07.27 12:55 Marcin Rybak

      Nie zmienia to jednak wymiaru problemu, przestępcy zaczęli się tym interesować i skutecznie wykorzystywać

      Odpowiedz
      • 2015.07.27 13:02 Anonim

        To może dla równowagi napiszcie też o tym, że systemy bankowe aktywnie wykrywają wszelkie dziwne ruchy transakcyjne i np. banki kontaktują się z użytkownikiem karty którego karta offline-owo zaczęła być nagle używana na drugim końcu świata , itp. I o tym że banki biorą odpowiedzialność za takie transakcje. W Polsce jesteśmy w tej dobrej sytuacji że użytkujemy tylko najnowocześniejsze standardy i nie musimy się obawiać pomysłów wykorzystujących stare techniologie. Równie dobrze możecie nagłaśniać fałszowanie czeków. Tę technologię też już przeskoczyliśmy. :)

        Odpowiedz
        • 2015.07.27 14:31 Anonymouse

          Anonimie,
          niestety ciągle nie przeskoczyliście przerzucania na klienta kosztów ewidentnych przestępstw dokonywanych zbliżeniowo przy użyciu intencjonalnie źle zabezpieczonych kart wydawanych przez polskie banki – patrz dziesiątki tysięcy złotych strat u niektórych poszkodowanych, których też jest niemało. Oczywiście w większości banków, dopóki duże ilości ekskrementów nie zaczęły wylatywać z prasy codziennej, „nie dało się” ustalić limitów, wyłączyć transakcji zbliżeniowych w ogóle czy zamówić karty bez wodotryskóœ.
          ….więc tego, banki, szczególnie w Polsce, to już dawno nie są instytucje zaufania publicznego, nikt już nie wierzy w to co mówią.

          Odpowiedz
          • 2015.07.27 14:58 Anonim

            Powtarzam, produkuję karty a nie pracuję w banku więc wypowiadam się tylko od strony technicznej konstrukcji kart i systemów elektronicznego nadzoru. Straszenie słabszym zabezpieczeniem kart SDA to jak straszenie użytkowników że przestępcy rozpracowali technikę włamywania się do WIFI chronionego WEP a nie WPA i pochodnymi. Niby prawda ale jeśłi ktoś nadal używa WEP to sam jest sobie inny. A bankom używać SDA nie wolno i to nie jest ich widzimisie tylko efekt tego że VISA i Mastercard nie autoryzują takich kart i nie zadziałają one w żadnym terminalu.

        • 2015.07.27 17:29 kszh

          Polska i najnowocześniejsze standardy… 1) wręczanie kasjerom karty do ręki, inaczej nie zapłacisz 2) identyfikacja paskiem magnetycznym, choć karta ma chip. Tylko w Polsce takie standardy.

          Odpowiedz
    • 2015.07.27 14:23 Anonymouse Odpowiedz
  • 2015.08.01 20:59 Mateusz

    Otoz mamy karty które działają offline – bzwbk (wszystkie nowe) mBank (aktualnie wydawane od 2015) aliorBank/t-mobile (nie zawsze działa) millenium impresja – transakcje offline na pewno nie zadziałałaja w empiku i KFC zaś w mcd czy matrasie juz działa. Aby karta weszła w offline nawet nie trzeba się natrudzić wystarczy w przypadku WBK wplata 10zl wpłatomatem 1 wypłata i dowolną transakcja – kolejna transakcja po minucie na tym samym terminalu da efekt „zaakceptowana” bez „autoryzacja w toku” bank je księguje po około tygodniu. Limity dla offline to z moich wyliczeń 10 transakcji lub 450zl – a z kart w trybie offline bardzo często korzystam.

    Odpowiedz

Zostaw odpowiedź do Anonim

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Przestępcy potrafią już tworzyć fałszywe chipowe karty płatnicze

Komentarze