Близкие контакты. Как работают атаки на чиповые карты

Содержание статьи

• Чиповое легаси
• Бразильский хак
• Cryptogram Replay и Cryptogram Preplay
• PIN OK
• Заключение

Прак­тичес­ки все сов­ремен­ные бан­ков­ские кар­ты снаб­жены спе­циаль­ным чипом, на котором хра­нит­ся необ­ходимая для пла­тежей информа­ция. В сегод­няшней статье я рас­ска­жу о спо­собах мошен­ничес­тва с такими кар­тами, а так­же о при­меня­емых бан­ками методах про­тиво­дей­ствия кар­дерам.

info

О прин­ципах, на которых стро­ится безопас­ность бан­ков­ских пла­теж­ных сис­тем, ты можешь узнать в стать­ях «Раз­бира­емся, как работа­ют сис­темы безопас­ности кре­дит­ных карт» и «Как хакеры кра­дут день­ги с бан­ков­ских карт».

Чиповое легаси

Один из видов информа­ции, содер­жащей­ся на чиповой кар­те, — это так называ­емый Track2 Equivalent. Он прак­тичес­ки один в один пов­торя­ет содер­жимое маг­нитной полосы и, ско­рее все­го, слу­жит в качес­тве парамет­ра иден­тифика­ции кар­ты в сис­темах HSM и дру­гих под­систе­мах кар­точно­го про­цес­синга. Один из видов атак, которые вре­мя от вре­мени про­водят­ся зло­умыш­ленни­ками, под­разуме­вает запись дан­ных Track2 Equivalent на маг­нитную полосу, пос­ле чего мошен­ничес­кие опе­рации про­водят­ся либо как обыч­ные тран­закции по маг­нитной полосе, либо в режиме technical fallback. Для хищения таких дан­ных из бан­коматов исполь­зуют­ся так называ­емые шим­меры.

В одной из ста­тей о шим­минге упо­мина­ется, что в 2006 году, в самом начале выпус­ка чиповых карт, в Великоб­ритании поле Track2 Equivalent содер­жало в себе ори­гиналь­ный CVV2/CVC2. Из‑за этой ошиб­ки было лег­ко соз­давать кло­ны маг­нитных полос карт, по которым опла­та про­исхо­дила с помощью чипа. Тог­да пла­теж­ные сис­темы решили исполь­зовать раз­ные seed при генера­ции полей CVV2/CVC2 на маг­нитной полосе и в поле Track2 Equivalent. Казалось бы, задача решена — зна­чение сек­ретно­го поля CVV2/CVC2 на маг­нитной полосе не сов­пада­ет с тем, что записа­но на чипе. Но шим­минг жив и по‑преж­нему проц­вета­ет. Почему?

Мно­гие бан­ки до сих пор одоб­ряют тран­закции со счи­тан­ными с чипа зна­чени­ями CVV2/CVC2! Об этом час­то упо­мина­ет Visa и поч­ти не пишет MasterCard. Одна из при­чин, по моему мне­нию, — прак­тичес­ки во всех кар­тах MasterCard CVC2 в Track2 Equivalent равен 000. Для рус­ских карт это так­же неак­туаль­но: сре­ди про­тес­тирован­ных мной за два года десят­ков бан­ков я не нашел ни одной кар­ты, где эта ата­ка была бы воз­можна. Тем не менее сто­ит отме­тить, что подоб­ные ата­ки по­пуляр­ны в Аме­рике.

info

Од­на из нем­ногих карт MasterCard, с которой мне уда­лось вос­про­извести эту ата­ку, при­над­лежала бан­ку, вооб­ще не про­веряв­шему зна­чение поля CVC2. Я мог под­ста­вить туда что угод­но — 000, 999 или любые дру­гие вари­анты меж­ду эти­ми чис­лами. Ско­рее все­го, в этом бан­ке не был отклю­чен режим отладки, одоб­ряющий любые тран­закции.

Чем это чре­вато? Хакер мог бы под­менить поле Service Code, ука­зыва­ющее, что кар­та не содер­жит чипа, и свер­ка целос­тнос­ти это­го поля была бы невоз­можна, потому что любой CVC2 при­нимал­ся про­цес­сингом. Уяз­вимость, очень силь­но похожая на сле­дующую в спис­ке, была быс­тро устра­нена пос­ле пись­ма в банк.

По моей ста­тис­тике, 4 из 11 карт были под­верже­ны подоб­ным ата­кам.

Бразильский хак

Под этим тер­мином понима­ют нес­коль­ко видов атак, в том чис­ле ата­ку на офлайн‑тер­миналы, опи­сан­ную «Лабора­тори­ей Кас­пер­ско­го». О самой мас­совой ата­ке c таким наз­вани­ем рас­ска­зывал Брай­ан Кребс. В чем суть нашумев­шей ата­ки?

В начале 2010-х чиповые кар­ты наконец‑то получи­ли широкое рас­простра­нение в США. Нес­коль­ко бан­ков начали выпус­кать такие кар­ты. Сто­ит заметить, что до сих пор самая рас­простра­нен­ная чиповая схе­ма в США — это не Chip & PIN, а Chip & Signature. Вла­дель­цу подоб­ной кар­ты не надо вво­дить ПИН‑код, а нуж­но толь­ко вста­вить кар­ту в счи­тыва­тель и под­твер­дить тран­закцию под­писью на чеке. Почему эта схе­ма так при­жилась — рас­ска­жу даль­ше.

Как мне кажет­ся, где‑то в этом про­цес­се про­изош­ла инсай­дер­ская утеч­ка информа­ции, и хакеры узна­ли, что чиповая тран­закция вро­де и про­ходит, но не про­веря­ется на сто­роне бан­ка‑эми­тен­та. Банк прос­то брал поле Track2 Equivalent и про­водил иден­тифика­цию, как если бы это была обыч­ная тран­закция по маг­нитной полосе. С нес­коль­кими нюан­сами: ответс­твен­ность за мошен­ничес­тво такого рода по новым пра­вилам EMV Liability Shift теперь лежала на бан­ке‑эми­тен­те. А бан­ки‑эми­тен­ты, не до кон­ца понимая, как работа­ли такие кар­ты, не вво­дили силь­ных огра­ниче­ний на «чиповые» тран­закции и не исполь­зовали сис­темы антифро­да.

Быс­тро сооб­разив, что из это­го мож­но извлечь выгоду, кар­деры ста­ли откры­вать мер­чант‑акка­унты и, исполь­зуя куп­ленные на чер­ном рын­ке дан­ные маг­нитных полос Track2, совер­шали сот­ни тран­закций «чипом». Рас­сле­дова­ние заняло годы, и к момен­ту его окон­чания мошен­ники уже скры­лись. Сум­мы потерь не раз­гла­шают­ся, одна­ко оче­вид­но, что они были сущес­твен­ными. Самое печаль­ное, что с тех пор жители стран Латин­ской Аме­рики ры­щут по все­му све­ту в поис­ках «белых китов» и активно тес­тиру­ют бан­ки, пыта­ясь най­ти дру­гой такой же неот­клю­чен­ный отла­доч­ный интерфейс.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Я уже участник «Xakep.ru»

Источник