"Французы рассказали о том, как хакеры ломают банковские chip-and-pin карты"
xakep.ru/2015/10/22/82648/
Французские исследователи из École Normale Supérieure (Высшей нормальной школы) опубликовали подробности расследовании инцидента, случившегося в 2011 году. Тогда группа хакеров сумела похитить у пользователей французских банков более 680 000 долларов, обманув систему защиты банковских EMV-карт. Исследователи рассказали, каким образом злоумышленники сумели это проделать.
В 2011 году расследованием хищения денег у клиентов банков, разумеется, занималась полиция. По данным правоохранительных органов, от рук хакеров пострадали более 40 человек, злоумышленники успели осуществить более 7000 транзакций и похитили около 680 000 долларов.
Тогда, в поисках преступников, правоохранительные органы собрали IMSI-номера устройств, которые «засветились» в местах, где злоумышленники пользовались ворованными картами. Затем полиция сопоставила IMSI-номера с SIM-картами и временем происшествий. В результате этих изысканий была сначала задержана 25-летняя женщина, а затем четверо ее подельников. Среди них был и инженер, который придумал схему взлома EMV-карт, которую исследователи теперь называют одним из самых запутанных и хитрых фраудов в истории.
В 2011 году команда École Normale Supérieure проводила криминалистический анализ улик, помогая полиции. Именно этот отчет исследователи обнародовали 20 октября 2015 года.
Так как украденные карточки являлись уликами, эксперты не могли попросту разобрать их и «посмотреть, что внутри». Вместо этого пришлось прибегнуть к помощи рентгена и микроскопа. Также команда ученых определила, как ведет себя чип во время использования, задействовав read-only программы, чтобы проверить, какую информацию карта сообщает PoS-терминалу.
Согласно опубликованному отчету, хакеры сумели реализовать man-in-the-middle атаку, внедрив в оригинальный чип карточки второй, самодельный чип, получивший название FUN или FUNcard. Из-за этой модификации толщина чипа увеличилась с 0,4 мм до 0,7 мм, однако карта все равно проходила в PoS-терминал, пусть и с некоторым трудом.
Толщина обычной карты против толщины модифицированной
Злоумышленники воспользовались известным багом в системе сhip-and-PIN карт. Уязвимость в протоколе, с помощью которого карта общается с ридером, была найдена еще в 2006 году, баг позволяет атакующему использовать карточку, даже не зная PIN-кода ( cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf ).
Обычная EMV-транзакция осуществляется в три этапа: аутентификация карты, верификация владельца карты, авторизация транзакции. В случае использования видоизмененной преступниками карты, оригинальный чип позволял ей пройти аутентификацию. Однако, на этапе авторизации владельца карты, PoS-система все равно просит ввести PIN-код. В случае, который разбирали специалисты Высшей нормальной школы, хакеры могли вводить любой PIN-код, — их самодельный чип вступал в игру и заставлял систему поверить, что любой код верен.
На рентгене хорошо видно использование разных материалов. Оригинальный чип окрашен зеленым.
«Атакующие перехватывали запрос PIN-кода и отвечали, что он верен, каким бы код ни был. В этом заключалось ядро их атаки», — пишут исследователи.
То есть хакеры действовали по следующей схеме. Они воровали банковские карточки, доставали из них чип, интегрировали в него FUNcard (что, по словам исследователей, требовало «умения, терпения и очень тонкой работы»), затем вставляли полученную модификацию в «тело» другой карты и отправлялись по магазинам и к банкоматам, опустошая чужие счета.
К счастью, в наши дни баг, которым воспользовались смекалистые преступники, уже был исправлен, во всяком случае, в большинстве стран Европы. Исследователи отказались раскрывать в своем отчете подробности о новой защите EMV, по понятным причинам.
• Ознакомиться с полной версией документа можно здесь: eprint.iacr.org/2015/963.pdf
================================
«Атака двумя чипами»: мнения экспертов «ПЛАС»
plusworld.ru/daily/ataka-dvumya-chipami-mneniya-ekspertov-plas/
По данным внешних экспертов «ПЛАС», новый обнаруженный тип фрода с платежными картами может коснуться только операций с картами в торгово-сервисных предприятиях, но не в сетях банкоматов.
Французские криминалисты подтвердили практическую реализацию киберпреступниками описанной еще в 2010 г. уязвимости EMV-карт, известную как «атака двумя чипами» с применением схемы man-in-the-middle.
Напомним, что уязвимость, позволяющая реализацию такого типа атак, была описана относительно давно коллективом исследователей из компьютерной лаборатории Кембриджского университета. Еще в 2010 году Стивен Мердок, Саар Дример, Росс Андерсон и Майк Бонд (Steven J. Murdoch, Saar Drimer, Ross Anderson, Mike Bond), представили результаты своего исследования этой уязвимости в докладе под названием «Chip & PIN – взломан» на ежегодном симпозиуме IEEE, посвященном проблемам безопасности и обеспечения конфиденциальности персональной информации (IEEE Symposium on Security and Privacy).
Кембриджская четверка описала уязвимость алгоритма работы EMV-карт, связанную с процессом верификации ПИН-кода при оплате товаров и услуг в POS-терминале, предположив вероятность реализации схемы атаки man-in-the-middle («человек посередине») в отношении физических EMV-карт. В ней использовался второй чип, наложенный на основной микропроцессор карты, который нужным мошенникам образом модифицировал информацию, которой карта обменивается с POS-терминалом, делая результат проверки офлайн ПИНа всегда положительным. Исследователи смоделировали и реальную атаку с применением компьютерного оборудования. Как можно видеть на иллюстрации, использованное экспериментаторами в 2010 году оборудование было достаточно громоздким, поэтому до сего дня вероятность практической реализации «атаки двумя чипами» считалась специалистами по информационной безопасности лишь теоретической.
Однако технологии в современном мире не стоят на месте не только у банков, но и у киберпреступников, которые успешно осваивают тренд миниатюризации устройств, применяемых ими для совершения атак на банки и эмитируемые ими платежные инструменты.
В октябре 2015 года французские исследователи из университета Еcole Normale Supеrieure и научно-технологического института CEA впервые выявили реальный кейс описанной кембриджскими учеными атаки. Оборудование, используемое при такой атаки преступниками, говорится в докладе французских компьютерных криминалистов, было настолько миниатюрным, что отличить «нормальную» платежную карту от мошеннической карты с внедренным вторым чипом практически невозможно.
Известно, что в 2011-2012 гг. по фактам мошеннических операций с похищенными картами было арестовано пять французских граждан, которые в общей сложности потратили, расплачиваясь в магазинах более 600 000 евро с чужих EMV карт, обойдя все схемы защиты.
Расследование криминалистов, включающее компьютерную томографию и микроскопические исследования показало, что мошенники имплантировали второй чип внутрь пластикового носителя карты. Это делало возможным оплату товаров и услуг с помощью таких модифицированных карт на POS-терминалах торгово-сервисных предприятий. Имплантированный поверх основного второй чип выдавал измененную информацию POS-терминалу при верификации офлайн-ПИН.
Когда «покупатель» (мошенник) вставлял карту в картридер POS-терминала, последний запрашивал чип карты, проверяя корректность ПИН. Второй, имплантированный в карту, чип, распознавал запрос и замещал ответ оригинального чипа эмитента своим ответом, который всегда был положительным, вне зависимости от того, какой рэндомный (случайный) ПИН предлагал вводил с ПИН-пада мошенник.
Многие отечественные издания, после первых публикаций данной информации заговорили даже о «взломе чиповых карт». Очевидно, что речь о взломе самого EMV-чипа в данном случае речь не идет, но мы имеем дело с по своему-интересным и знаковым явлением – первом практическом осуществлении предсказанной ранее атаки, реальность которой специалисты по информационной безопасности практически не рассматривали, считая описанную кембриджскими учеными атаку с использованием уязвимости алгоритма обмена информацией между POS-терминалом и картой «интересной, но малополезной».
Внешние эксперты ПЛАС подтверждают данные тезисы:
«Собственно ЧИП не взламывается, используется уязвимость EMV-протокола (обмен информацией между картой и терминалом). Реализация уязвимости известна как "атака двумя чипами" или "человек посередине". – говорит Николай Пятиизбянцев, независимый эксперт в области информационной безопасности финансового сектора – В общих чертах это выглядит следующим образом: информация передаваемая между картой и терминалом контролируется злоумышленником, при верификации держателя по ПИН необходимо ввести ПИН на ПИН-паде POS-терминала, и в случае офлайн-ПИН введенный мошенником ПИН направляется на карту, которая его проверяет и отвечает терминалу, корректен введенный ПИН или же нет. Так как злоумышленники в нашем случае, посредством напаянного второго чипа контролируют информационный обмен между терминалом и картой, то на любой введенный ПИН карта с «имплантом» ответит терминалу, что ПИН – верный».
«Данная новость интересна для специалистов по информационной безопасности банков прежде всего тем, что хотя ранее англичане и демонстрировали данную уязвимость в лабораторных условиях с достаточно объемным оборудованием, но сегодня французы выявили реальное осуществление атаки, и при этом используемое оборудование – очень миниатюрное» – говорит Н. Пятиизбянцев.
По словам эксперта, при способе верификации, который подразумевает проверку онлайн-ПИН (ПИН проверяет эмитент карты) данная атака потерпит неудачу. В европейских и российских условиях это означает, что мошеннические карты с «имплантами» не будут действовать ни в одном банкомате (здесь всегда используется проверка онлайн-ПИН на стороне эмитента). Однако в торгово-сервисных предприятиях атаки подобного типа будут успешны в подавляющем большинстве случаев – как правило, банк-эмитенты карт предустанавливают настройки, которые подразумевают приоритетную проверку офлайн-ПИН при операциях в торгово-сервисных сетях с использованием POS-терминалов.
• Source: cl.cam.ac.uk/research/security/banking/nopin/oakland10chipbroken.pdf
• Source: plusworld.ru/daily/ataka-dvumya-chipami-mneniya-ekspertov-plas
Редактировался mturin (2015-10-31 20 ч.)
мне очень понравилась изначальная постановка вопроса.
