Emv

Банковские карты с чипом разработаны так, чтобы не было смысла клонировать их с помощью скиммеров или вредоносных программ, когда вы расплачиваетесь, используя чип карты, а не магнитную полосу. Однако несколько недавних атак на американские магазины показывают, что воры эксплуатируют слабые места реализации этой технологии некоторыми из финансовых организаций. Это позволяет им обходить чип карточки и, по сути, создавать пригодные для использования подделки.

Традиционно пластиковые карты кодируют данные счёта владельца прямым текстом на магнитной полоске. Скиммеры или вредоносное ПО, скрытно установленные в терминалы для оплаты, могут считать с неё данные и записать их. Затем эти данные можно закодировать на любую другую карточку с магнитной полосой и использовать для мошеннических финансовых операций.

В более современных картах используется технология EMV (Europay + MasterCard + Visa), шифрующая данные учётной записи, хранящиеся на чипе. Благодаря этой технологии каждый раз, когда карта взаимодействует с терминалом, поддерживающим чипы, генерируется единовременный уникальный ключ, который называют токеном или криптограммой.

Практически на всех картах с чипом хранятся те же самые данные, что закодированы на магнитной полосе карточки. Это сделано для обратной совместимости, поскольку очень многие продавцы в США до сих пор не перешли на терминалы с поддержкой чипов. Эта двойная функциональность также позволяет владельцам карт использовать магнитную полосу, если чип карты или терминал продавца работают неправильно.

Однако между данными, хранящимися на чипе EMV, и данными на магнитной полосе, существует несколько отличий. Одно из них это компонент чипа под названием код проверки карты с интегральной микросхемой, или iCVV, который также иногда называют динамическим CVV.

iCVV отличается от кода подтверждения карты CVV, хранящегося на магнитной ленте, и защищает от копирования данных с чипа и их использования для создания поддельных карт с магнитной полосой. И iCVV, и CVV не связаны с тем трёхзначным цифровым кодом, который напечатан на обратной стороне карточки, и который обычно используется для оплаты в интернет-магазинах или подтверждения карты по телефону.

Плюс подхода EMV в том, что даже если скиммер или вирус перехватывает информацию о транзакции с картой, эти данные будут действительными только для этой транзакции, и в будущем уже не должны позволить ворам проводит мошеннические платежи.

Однако, чтобы вся эта система безопасности работала, бэкенд-системы, развёрнутые финансовыми организациями, выпускающими карты, должны проверять, что в случае, когда карта вставлена в терминал, вместе с данными выдаётся только iCVV, и наоборот, что при оплате магнитной полосой выдаётся только CVV. Если эти данные не совпадают с выбранным типом транзакции, финансовая организация должна эту транзакцию отклонить.

Проблема в том, что не все организации правильно настроили свои системы. Неудивительно, что воры знают об этих слабых местах уже много лет. В 2017 году я писал об увеличении процента использования "шиммеров" высокотехнологичных скиммеров, перехватывающих данные с транзакций, сделанных при помощи чипа.


Шиммер, обнаруженный в канадском банкомате

Недавно исследователи из Cyber R&D Labs опубликовали результаты исследования, в котором они тестировали 11 видов реализации чипа на картах от 10 различных банков Европы и США. Они обнаружили, что могут снимать данные с четырёх из них, после чего создавать клонированные карты с магнитной полосой, и успешно использовать их для платежей.

Есть все основания полагать, что метод, подробно описанный Cyber R&D Labs, используется вредоносными программами, устанавливаемыми в терминалы магазинов. Программы перехватывают данные транзакций с EMV, которые затем можно перепродавать и использовать для изготовления копий карт с чипом, но использующих магнитную полосу.

В июле 2020 крупнейшая платёжная сеть в мире Visa выпустила предупреждение об угрозах в безопасности, касающихся терминалов скомпрометированного недавно продавца. В их терминалах вредоносные программы были исправлены так, чтобы работать с картами с чипом.

Реализация безопасных технологий платежей типа EMV Chip значительно уменьшила пользу от платёжных данных учётной записи для третьих лиц, поскольку в эти данные входят только номер личного счёта PAN, код проверки карты iCVV и дата окончания действия данных, писала Visa. Поэтому при правильном подтверждении iCVV риск изготовления подделки был минимальным. Кроме того, многие продавцы использовали терминалы с шифрованием данных P2PE, шифрующие PAN, что ещё сильнее уменьшает риск проведения платежей.

Название продавца упомянуто не было, однако нечто похожее, судя по всему, случилось в сети супермаркетов Key Food Stores Co-Operative Inc., находящихся на северо-востоке США. Изначально Key Food раскрыла подробности о взломе карт в марте 2020, но в июле 2020 обновила заявление, уточняя, что данные по транзакциям EMV также были перехвачены.

Терминалы в магазинах поддерживали EMV, поясняет Key Food. По нашему мнению, вредоносные программы во время транзакций на этих точках могли перехватить только номер карты и срок окончания её действия (не имя владельца и не внутренний код подтверждения).



Технически, заявление Key Food можно считать правильным, однако оно приукрашивает реальность украденные данные EMV всё равно можно использовать для создания вариантов карточек с магнитной полосой, которые затем можно использовать на тех кассах, где установлены терминалы с вредоносным ПО, когда выпускавший карту банк не реализовал защиту EMV корректно.

В июле компания Gemini Advisory, специализирующаяся на защите от мошенников, опубликовала запись в блоге, где подробно описала произошедшие в последнее время взломы продавцов включая и Key Food в результате которых были украдены данные по EMV-транзакциям, которые затем появились в продаже в нелегальных магазинах для кардеров.

Платёжные карты, украденные во время этого инцидента, предлагались к продаже в дарквебе, поясняют в Gemini. Вскоре после обнаружения этого инцидента несколько финансовых учреждений подтвердили, что все участвовавшие в нём карты обрабатывались через EMV, не полагаясь на магнитную полосу в качестве резервного метода.

В Gemini говорят, что подтвердили, что ещё один инцидент с безопасностью, произошедший в алкогольном магазине штата Джорджия, также привёл к компрометации данных по EMV-транзакциям, в результате чего позднее они появились в дарквебе на сайтах, продающих краденные карточки. Как отметили Gemini и Visa, в обоих случаях правильное подтверждение данных iCVV от банков должно было сделать эти данные бесполезными для мошенников.

В Gemini определили, что само количество пострадавших магазинов говорит о том, что очень маловероятно, чтобы воры перехватывали EMV-данные посредством вручную установленных EMV-шиммеров.

Учитывая непрактичность подобной тактики, можно заключить, что они использовали другую технику для проникновения в терминалы оплаты и сбора достаточного количества данных по EMV для осуществления EMV-Bypass Cloning,- написала компания.

Стас Алфёров, директор Gemini по исследованиям и развитию, сказал, что финансовые учреждения, не проводящие подобные проверки, теряют возможность отследить случаи неправомерного использования таких карточек.

Дело в том, что многие банки, выпустившие карты с чипами, считают, что пока их используют для транзакций с применением чипа, риск их клонирования и продажи на подпольных рынках практически отсутствует. Поэтому когда эти организации ищут закономерности в мошеннических транзакциях, чтобы определить, оборудование каких продавцов оказалось скомпрометированным вредоносным ПО, они могут совершенно упустить из виду платежи, совершённые при помощи чипов, и сконцентрироваться только на тех кассах, где покупатели проводили карту полосой.

Карточные сети начинают понимать, что в настоящее время появляется гораздо больше взломов EMV-транзакций, сказал Алфёров. Более крупные организации, выпускающие карты, такие, как Chase или Bank of America, уже проверяют несоответствия iCVV и CVV, и отвергают подозрительные транзакции. Однако менее крупные организации явно этого не делают.

К добру или худу, мы не знаем, какие именно финансовые организации неправильно реализовали стандарт EMV. Поэтому всегда стоит тщательно следить за своими расходами по карте и незамедлительно сообщать о любых несанкционированных транзакциях. Если ваш банк даёт вам возможность получать текстовые сообщения о транзакциях, это поможет вам почти в реальном времени отслеживать подобную активность.

Уязвимости в кредитных картах встречаются редко: хотя интерес киберпреступников здесь очевиден, сами платежные карты достаточно хорошо защищены. Их безопасность регулярно проверяют уже много лет, а к участникам рынка предъявляют весьма высокие требования. Пожалуй, последнее масштабное мошенничество с кредитками происходило в США, и то из-за устаревшей инфраструктуры, зависящей от ненадежного метода хранения данных на магнитной полосе. Данные кредиток крадут, используют для покупок в Сети и обналичивания, но вот сами карты с чипом взломать не так легко: если PIN-код не написан прямо на украденной карте, скорее всего, воры ничего не получат. Разве что смогут оплатить покупку бесконтактным методом, не требующим PIN-кода. Но тут вступает в силу ограничение на сумму покупки.



Исследователи из Швейцарской высшей технической школы Цюриха нашли уязвимость как раз в способе авторизации бесконтактных платежей, применяемом в платежных картах Visa. Она позволяет выходить за рамки лимита на операции без введения PIN-кода. А это значит, что в случае кражи злоумышленники могут оплатить картой очень дорогой товар.

На PoC-видео заметна интересная деталь: используются два смартфона, один считывает данные с кредитной карты, другой подносится к платежному терминалу. Предполагается, что карту красть даже не обязательно, достаточно удачно приложиться к кредитке в нужный момент. Ранее подобные атаки на систему бесконтактных платежей были попросту непрактичными. Такими они и остаются, но исследование делает их чуть более опасными, чем хотелось бы.



Подробное исследование по теме пока не опубликовали исследователи обещают представить работу со всеми деталями аж в мае 2021 года. Пока известно следующее: уязвимость заключается в возможности поменять статус платежной карты, который передается при контакте с терминалом. Точнее, статусов два: один сообщает терминалу, что ввод PIN-кода не требуется, второй что карта авторизована на пользовательском устройстве (например, на смартфоне). Обычно сочетание этих индикаторов приводит к тому, что терминал просит ввести PIN. В сценарии атаки данные с карты считываются смартфоном, передаются на другой смартфон и в процессе модифицируются. Лимит на бесконтактные платежи в Швейцарии составляет 80 швейцарских франков (74 евро на момент публикации). Исследователи провели без авторизации платеж на 200 франков, воспользовавшись обнаруженной уязвимостью.

Скорее всего, уязвимы многие кредитные и дебетовые карты Visa. Также есть вероятность, что подмена статуса возможна на картах систем Discover и Union Pay. Уязвимости не подвержены карты Mastercard (кроме самых ранних бесконтактных), так как там статус, позволяющий обойти необходимость ввода PIN, нельзя изменить на лету. Подвержены ли вообще все карты, или только некоторые, или же определенных банков за какой-то временной период, неизвестно и самим исследователям. Рекомендации простые: не теряйте карту и пользуйтесь кошельком, изолирующим беспроводную радиосвязь. Ладно, кошелек не обязателен, но карту лучше все-таки не терять.

Что еще произошло:
Очередной патч для решений Microsoft закрывает 129 уязвимостей, из них 23 критически важных. Одну из самых серьезных проблем обнаружили в сервере Microsoft Exchange. Атакующий может выполнить произвольный код с высшими привилегиями на почтовом сервере, отправив подготовленное сообщение.

В ежемесячном патче для Android закрыли 53 бага, включая очередную дыру в Media Framework.

Пополнение в ряду уязвимостей в протоколе Bluetooth. Баг BLURtooth позволяет без авторизации подключаться к находящимся неподалеку устройствам с Bluetooth 4.0 и 5.0.

Уязвимость в Wordpress-плагине Email Subscribers & Newsletters угрожает сотне тысяч сайтов. Некорректная авторизация позволяет использовать почтовый сервер для рассылки спама.

Интересное развитие темы атак на Office 365: в одной фишинговой кампании заметили механизм валидации данных, которые жертва вводит на поддельном сайте, в режиме реального времени. То есть ваши логин и пароль не только украдут, но еще и вежливо сообщат, если вы допустили опечатку при вводе.

ИБ-исследователи сообщают об атаке на VoIP-шлюзы на базе Linux. Злоумышленники охотятся за историей звонков.

У производителя ноутбуков, игровых ПК и аксессуаров Razer украли данные о 100 000 клиентов.

Разработчики сервиса видеоконференций Zoom внедрили двухфакторную аутентификацию.

Люди всё ещё продолжают вставлять карту в банкоматах, несмотря на то, что бесконтактное обслуживание имеет преимущества перед привычным всем способом. Постараюсь кратко рассказать историю вопроса.

В 2017 году мы начали внедрять NFC на банкоматах. Тогда у нас был большой парк банкоматов, на которых нельзя было прикладывать карту. Было принято решение о поддержке единства пользовательских привычек, и мы начали оснащать наш парк банкоматов NFC-модулями. То есть не устанавливать новые банкоматы и постепенно замещать ими старые по мере амортизации, а взяли почти все имеющиеся модели и добавили на них NFC.

С первых дней стало понятно, что пользовательские привычки ломаются долго и нас ещё много лет будет ждать постепенное отвыкание от желания вставлять карту.

Как пользоваться картой с NFC на банкомате?

Если вы можете бесконтактно расплатиться в магазине или кафе, то точно так же можете обслуживаться в банкомате. В нашем случае нужно начать сеанс с прикладывания карты или девайса (соответствующая подсказка есть на банкомате на экране ожидания пользователя) и ввода пин-кода, и тогда откроется главный экран, где будет контекст под текущего клиента банка. Вот пример:



На этот экран собираются типовые операции, которые клиент часто делает: это снятие привычных сумм наличных, оплата детсада или кредита и так далее. Улучшение интерфейса банкоматов достаточно интересная история, и я знаю, что для Хабра это несколько лет назад было важно. Мы постоянно внедряем в интерфейс новые фишки, предвосхищая запросы клиента. Причём это могут быть такие мелкие детали, как сокращение шагов внутри операций. Не сразу бросается в глаза, но существенно улучшает пользовательский опыт.

Сейчас при бесконтактном обслуживании карту к банкомату нужно приложить дважды: в первый раз при авторизации, во второй раз при подтверждении операции.

Для чего нужно подтверждение?

Если клиент авторизовался, но ушёл перед совершением операции, третье лицо не сможет сделать никакое действие с его счетами. Для того, чтобы подтвердить операцию, нужно ещё раз приложить карту или гаджет.

Какое количество банкоматов с NFC?

У нас самая широкая сеть банкоматов в России порядка 71 тысячи устройств, 95 % которых оснащены NFC.

Все новые карты, выпускаемые СберБанком, являются бесконтактными.

Можно ли прикладывать к банкомату часы или телефон, как при оплате?

Да. Если вы выпустили отдельный сертификат для своего NFC-чипа (то есть связали карту и NFC-чип) и можете расплатиться этим в магазине то же самое подходит и для банкомата. Карту можно вообще не брать с собой: все операции, включая снятие и взнос наличных в банкоматах, можно делать с помощью смартфона.

Нужно ли вводить пин-код при использовании NFC?

Да.

С точки зрения ПО банкомата аутентификация по NFC ничем не отличается от аутентификации вставкой карты. Архитектурно для банкомата картридер чёрный ящик, который выдаёт данные аутентификации. При модификации банкоматов и при создании новых мы расширяем возможности картридера. Упрощённо это можно описать как подключение ещё одного устройства ввода с небольшим интеграционным устройством. То есть картридер получает в итоге те же данные, что при чтении чипа карты. Все операции, требующие пин-кода в случае, когда вы вставляете карту, точно так же требуют пин-кода при её прикладывании.

Как работает NFC в банкоматах?

Первые банковские карты просто прокатывались импринтерами, поэтому на них объёмные цифры номера. Эта система оплаты до сих пор действует как резервная в некоторых магазинах в США на случай отключения света. Она аналогична выписке банковского чека из чековой книжки, что когда-то было очень распространено на Западе, но почти не прижилось в СССР и России. Уровень безопасности обеспечивался контролем за договорами с банком и полицией.

Следующий этап эволюции магнитная полоса карты, по сути, содержащая довольно простой способ защиты. До сих пор в мире существуют терминалы и банкоматы, которые читают только магнитную полосу. Она, к слову, может быть считана скиммером, но про это чуть позже.

После полосы пришли чипы (это то, через что авторизуется банковская карта сейчас). Примерно аналогичные чипы вы видите на сим-картах. Это полноценный компьютер без генератора тактовой частоты (она приходит вместе с питанием от материнского устройства). Главная функция чипа содержать внутреннее хранилище, где находится сертификат, позволяющий генерировать одноразовые ключи. Когда вы прикладываете или вставляете карту в банкоматах СберБанка, осуществляется работа с чипом, а не с магнитной полосой.

Так что там про скиммеры?

Мошенники могут установить считыватель рядом с картридером. Сбер использует антискимминговое оборудование, которое разработано с учётом различных сценариев, применяемых мошенниками для обмана клиента. Дополнительно используются и другие технические способы, включая самотестирование банкомата, уведомления о правильном внешнем виде, панели, затрудняющие установку внешних устройств, и так далее. К примеру, карточка заходит в устройство медленно, так как совершаются колебательные движения с целью предотвращения считывания данных с магнитной полосы. Так сделано на всех наших банкоматах, но это не означает, что так же сделано на всех банкоматах всех банков. Поэтому универсальный рецепт: по возможности, используйте NFC.

Почему мы рекомендуем пользоваться NFC

NFC-модуль использует EMV-стандарт. EMV (Europay + MasterCard + VISA) международный стандарт для операций по банковским картам с чипом. Этот стандарт первоначально был разработан совместными усилиями компаний Europay, MasterCard и VISA, чтобы повысить уровень безопасности финансовых операций. Стандарт EMV определяет физическое, электронное и информационное взаимодействие между банковской картой и платёжным терминалом для финансовых операций. При бесконтактной сессии используются аналогичные контактной сессии алгоритмы, отличия лишь в способе передачи информации. Например, при обрыве связи на середине транзакции ядро имеет функционал восстановления (Recovery), что гарантирует высокую надёжность проведения операций.

Итого заведите привычку прикладывать карту к банкомату. Как я сказала выше, наши технологии одинаково защищают клиента, который вставляет карту, и клиента, который её прикладывает. Но у бесконтактной технологии есть существенное преимущество: вы точно не забудете карту в устройстве.

Сколько людей забывают карту в банкомате?

Больше, чем кажется. Это не что-то из ряда вон выходящее, а стандартная функция банкомата. Забытая карта будет возвращена в банкомат, потом нужно будет перевыпустить или, если это произошло в офисе банка, идти с паспортом к сотруднику, чтобы он достал её из банкомата.

С использованием NFC за год (с октября 2019 по октябрь 2020) число оставленных в банкомате карт сократилось более чем в два раза.

А пин-код он безопасно передаётся?

Это не имеет отношения к NFC, но всё равно скажу, что клавиатура, на которой вы вводите пин-код, шифрует его. Шифрование гарантирует, что введённый пин-код нигде не появится. При этом сама операция шифруется ключами, и в банкомате не хранится информация. Вместо этого она уходит через защищённые каналы связи напрямую в банк и уже там проходит проверку на подлинность. Всё происходит в режиме реального времени. Тут важно отметить, что эта информация нигде не сохраняется и является недоступной даже для сотрудников банка.

Что говорят сами клиенты банка?

Мы проводили опрос. Итоги такие:

• Очень много клиентов просто не знают о технологии NFC и о местах её использования. В частности о том, что их карта уже поддерживает NFC.
• Те, кто знают об NFC, но не используют нигде, привыкли вставлять карту и не планируют особо менять типовой способ работы с банкоматом. Я так привык, Мне так удобнее.
• Клиенты предпочитают совершать меньше действий, поэтому активно используют NFC для оплаты покупок, но почему-то не используют в банкоматах. В то время как бесконтактное обслуживание безопасно как с точки зрения гигиены и защиты от вирусов, так и сохранности ваших данных ведь так вы не забудете карту в устройстве. Я не знал, что у меня бесконтактная карта нередко встречался такой ответ.

Ещё раз скажу: лучше прикладывать карту/гаджет, потому что это как минимум удобнее и безопаснее.

Насколько технология NFC распространена в Европе?

Не очень широко. Россия страна передовая по уровню ИТ в банкинге. То есть то, что есть у нас, через год-два будет в Европе. Вот недавняя публикация о трендах во время пандемии.

У меня есть вопрос

Задавайте в комментариях, но учтите, что банкоматы это тема с очень жёсткими ограничениями по тому, что я могу рассказывать из-за требований безопасности, поэтому ответы будут поступать медленно и, возможно, не на каждый вопрос.