Банковские карты

Банковские карты с чипом разработаны так, чтобы не было смысла клонировать их с помощью скиммеров или вредоносных программ, когда вы расплачиваетесь, используя чип карты, а не магнитную полосу. Однако несколько недавних атак на американские магазины показывают, что воры эксплуатируют слабые места реализации этой технологии некоторыми из финансовых организаций. Это позволяет им обходить чип карточки и, по сути, создавать пригодные для использования подделки.

Традиционно пластиковые карты кодируют данные счёта владельца прямым текстом на магнитной полоске. Скиммеры или вредоносное ПО, скрытно установленные в терминалы для оплаты, могут считать с неё данные и записать их. Затем эти данные можно закодировать на любую другую карточку с магнитной полосой и использовать для мошеннических финансовых операций.

В более современных картах используется технология EMV (Europay + MasterCard + Visa), шифрующая данные учётной записи, хранящиеся на чипе. Благодаря этой технологии каждый раз, когда карта взаимодействует с терминалом, поддерживающим чипы, генерируется единовременный уникальный ключ, который называют токеном или криптограммой.

Практически на всех картах с чипом хранятся те же самые данные, что закодированы на магнитной полосе карточки. Это сделано для обратной совместимости, поскольку очень многие продавцы в США до сих пор не перешли на терминалы с поддержкой чипов. Эта двойная функциональность также позволяет владельцам карт использовать магнитную полосу, если чип карты или терминал продавца работают неправильно.

Однако между данными, хранящимися на чипе EMV, и данными на магнитной полосе, существует несколько отличий. Одно из них это компонент чипа под названием код проверки карты с интегральной микросхемой, или iCVV, который также иногда называют динамическим CVV.

iCVV отличается от кода подтверждения карты CVV, хранящегося на магнитной ленте, и защищает от копирования данных с чипа и их использования для создания поддельных карт с магнитной полосой. И iCVV, и CVV не связаны с тем трёхзначным цифровым кодом, который напечатан на обратной стороне карточки, и который обычно используется для оплаты в интернет-магазинах или подтверждения карты по телефону.

Плюс подхода EMV в том, что даже если скиммер или вирус перехватывает информацию о транзакции с картой, эти данные будут действительными только для этой транзакции, и в будущем уже не должны позволить ворам проводит мошеннические платежи.

Однако, чтобы вся эта система безопасности работала, бэкенд-системы, развёрнутые финансовыми организациями, выпускающими карты, должны проверять, что в случае, когда карта вставлена в терминал, вместе с данными выдаётся только iCVV, и наоборот, что при оплате магнитной полосой выдаётся только CVV. Если эти данные не совпадают с выбранным типом транзакции, финансовая организация должна эту транзакцию отклонить.

Проблема в том, что не все организации правильно настроили свои системы. Неудивительно, что воры знают об этих слабых местах уже много лет. В 2017 году я писал об увеличении процента использования "шиммеров" высокотехнологичных скиммеров, перехватывающих данные с транзакций, сделанных при помощи чипа.


Шиммер, обнаруженный в канадском банкомате

Недавно исследователи из Cyber R&D Labs опубликовали результаты исследования, в котором они тестировали 11 видов реализации чипа на картах от 10 различных банков Европы и США. Они обнаружили, что могут снимать данные с четырёх из них, после чего создавать клонированные карты с магнитной полосой, и успешно использовать их для платежей.

Есть все основания полагать, что метод, подробно описанный Cyber R&D Labs, используется вредоносными программами, устанавливаемыми в терминалы магазинов. Программы перехватывают данные транзакций с EMV, которые затем можно перепродавать и использовать для изготовления копий карт с чипом, но использующих магнитную полосу.

В июле 2020 крупнейшая платёжная сеть в мире Visa выпустила предупреждение об угрозах в безопасности, касающихся терминалов скомпрометированного недавно продавца. В их терминалах вредоносные программы были исправлены так, чтобы работать с картами с чипом.

Реализация безопасных технологий платежей типа EMV Chip значительно уменьшила пользу от платёжных данных учётной записи для третьих лиц, поскольку в эти данные входят только номер личного счёта PAN, код проверки карты iCVV и дата окончания действия данных, писала Visa. Поэтому при правильном подтверждении iCVV риск изготовления подделки был минимальным. Кроме того, многие продавцы использовали терминалы с шифрованием данных P2PE, шифрующие PAN, что ещё сильнее уменьшает риск проведения платежей.

Название продавца упомянуто не было, однако нечто похожее, судя по всему, случилось в сети супермаркетов Key Food Stores Co-Operative Inc., находящихся на северо-востоке США. Изначально Key Food раскрыла подробности о взломе карт в марте 2020, но в июле 2020 обновила заявление, уточняя, что данные по транзакциям EMV также были перехвачены.

Терминалы в магазинах поддерживали EMV, поясняет Key Food. По нашему мнению, вредоносные программы во время транзакций на этих точках могли перехватить только номер карты и срок окончания её действия (не имя владельца и не внутренний код подтверждения).



Технически, заявление Key Food можно считать правильным, однако оно приукрашивает реальность украденные данные EMV всё равно можно использовать для создания вариантов карточек с магнитной полосой, которые затем можно использовать на тех кассах, где установлены терминалы с вредоносным ПО, когда выпускавший карту банк не реализовал защиту EMV корректно.

В июле компания Gemini Advisory, специализирующаяся на защите от мошенников, опубликовала запись в блоге, где подробно описала произошедшие в последнее время взломы продавцов включая и Key Food в результате которых были украдены данные по EMV-транзакциям, которые затем появились в продаже в нелегальных магазинах для кардеров.

Платёжные карты, украденные во время этого инцидента, предлагались к продаже в дарквебе, поясняют в Gemini. Вскоре после обнаружения этого инцидента несколько финансовых учреждений подтвердили, что все участвовавшие в нём карты обрабатывались через EMV, не полагаясь на магнитную полосу в качестве резервного метода.

В Gemini говорят, что подтвердили, что ещё один инцидент с безопасностью, произошедший в алкогольном магазине штата Джорджия, также привёл к компрометации данных по EMV-транзакциям, в результате чего позднее они появились в дарквебе на сайтах, продающих краденные карточки. Как отметили Gemini и Visa, в обоих случаях правильное подтверждение данных iCVV от банков должно было сделать эти данные бесполезными для мошенников.

В Gemini определили, что само количество пострадавших магазинов говорит о том, что очень маловероятно, чтобы воры перехватывали EMV-данные посредством вручную установленных EMV-шиммеров.

Учитывая непрактичность подобной тактики, можно заключить, что они использовали другую технику для проникновения в терминалы оплаты и сбора достаточного количества данных по EMV для осуществления EMV-Bypass Cloning,- написала компания.

Стас Алфёров, директор Gemini по исследованиям и развитию, сказал, что финансовые учреждения, не проводящие подобные проверки, теряют возможность отследить случаи неправомерного использования таких карточек.

Дело в том, что многие банки, выпустившие карты с чипами, считают, что пока их используют для транзакций с применением чипа, риск их клонирования и продажи на подпольных рынках практически отсутствует. Поэтому когда эти организации ищут закономерности в мошеннических транзакциях, чтобы определить, оборудование каких продавцов оказалось скомпрометированным вредоносным ПО, они могут совершенно упустить из виду платежи, совершённые при помощи чипов, и сконцентрироваться только на тех кассах, где покупатели проводили карту полосой.

Карточные сети начинают понимать, что в настоящее время появляется гораздо больше взломов EMV-транзакций, сказал Алфёров. Более крупные организации, выпускающие карты, такие, как Chase или Bank of America, уже проверяют несоответствия iCVV и CVV, и отвергают подозрительные транзакции. Однако менее крупные организации явно этого не делают.

К добру или худу, мы не знаем, какие именно финансовые организации неправильно реализовали стандарт EMV. Поэтому всегда стоит тщательно следить за своими расходами по карте и незамедлительно сообщать о любых несанкционированных транзакциях. Если ваш банк даёт вам возможность получать текстовые сообщения о транзакциях, это поможет вам почти в реальном времени отслеживать подобную активность.

Когда-то давно я мечтал стать специалистом по информационной безопасности и усердно ковырял разные веб-сайты на предмет уязвимостей. Моей самой большой победой стало нахождение уязвимости в платёжной системе QIWI, за которую добрые разработчики отсыпали мне 200 долларов. В итоге обнаруженная проблема была решена лишь спустя 3.5 года после жалобы, и после этого о ней стало можно поведать Вселенной. Забавный момент заключается в том, что я обнаружил эту уязвимость совершенно случайно, и на моём месте запросто мог быть ты.

В далёком 2015-м я пользовался виртуальными дебетовыми картами QIWI для того, чтобы заказывать своей младшей сестрюне ништяки с AliExpress. Система была простой: у тебя на счету в QIWI есть какая-то сумма денег, ты клацаешь на кнопку Выпустить виртуальную карту и получаешь информацию для платежей в интернете. Получаешь хитрым образом: что-то видно в веб-интерфейсе (первые и последние 4 цифры из номера карты, срок действия), но самое интересное приходит тебе по СМС (8 средних цифр номера карты, CVV2). Однажды что-то пошло не так: в веб-интерфейсе по-прежнему отображались первые и последние 4 цифры из номера карты, в СМС вдруг стали приходить они же. Остальные 8 цифр, видимо, нужно было выяснить телепатически.

Я человек простой: вижу проблему жалуюсь в техподдержку. Весьма оперативно мне пришёл ответ: Это ошибка временного характера, специалисты занимаются решением данной ситуации. Приносим извинения за доставленные неудобства. Окееей!

Через пару дней всё заработало, но не так, как раньше. В СМС по-прежнему приходили первые и последние 4 цифры из номера карты, а на сайте теперь отображались средние 8 цифр.

Wait a minute, а вдруг тут есть проблема безопасности, подумал я? Как и любой человек из большого города, я в своей жизни видел разного рода чеки. На них обычно указываются последние 4 цифры из номера карты, а значит, эти данные секретом не являются. Ещё они часто видны на сайтах, где ты вводишь и сохраняешь данные своей карты. Пару раз я видел кассовые чеки, где были указаны также первые 4 цифры. Посмотрев на банковские карты своей семьи, я обнаружил у них один и тот же префикс. Тоже так себе секретик, значит. Итак, раньше по СМС приходили секретные данные, на сайте отображались публичные, а теперь всё стало наоборот!

Я сел за компьютер и написал обстоятельный баг-репорт в программу по поиску уязвимостей, попутно нагуглив всякие интересности про номера банковских карт. Моя главная мысль звучала так: Всё было хорошо, а стало плохо. Через 9 месяцев мне дали за это денег, а ещё через 2.5 года починили ошибку и разрешили раскрытие истории. Что ж поделаешь, иногда нужно уметь ждать! На следующей итерации QIWI применили иную концепцию, которая кажется мне более удобной и безопасной: чтобы посмотреть все реквизиты на сайте, нужно ввести на нём код подтверждения из СМС.

Заметить и пожаловаться на этот баг мог кто угодно, в том числе ты, дорогой друг. Как видишь, тут не требовалось никаких специфических знаний по информационной безопасности и даже специального поиска проблемы, всё произошло практически само собой.

Будьте котиками, жалуйтесь разработчикам на уязвимости и баги, и всё у всех будет хорошо!

Оригинал опубликован в моём блоге 23.03.19.