Google+
Журнал Плас Плас Журнал http://www.plusworld.ru/
ул. Кржижановского, д. 29, корп. 5 Москва, 117218 Россия
+7 495 961 1065 http://www.plusworld.ru/upload/templates/logo_plus_ru.png
RSS RSS RSS RSS

Ещё раз о фроде… Часть II. Мошенничество в сфере обслуживания карт

(Нет голосов)

17.04.2009 Количество просмотров 1040 просмотров

Игорь Голдовский, генеральный директор ЗАО «Платёжные технологии»

Ложный ключ МПС

Одной из серьёзных «дыр» в модели безопасности операций, выполненных с использованием микропроцессорной карты, является практическая возможность заведения мошенниками в POS-терминал ложного открытого ключа платёжной системы. Изготовив под ложным ключом сертификаты ключа «мнимого» эмитента, далее можно выпустить поддельные карты, которые будут успешно работать в терминалах с загруженнымв них ложным ключом.

Заметим, что проблема обеспечения целостности приложения терминала не является надуманной. По мнению экспертов в области безопасности карточных операций, по мере повышения защищенности карт внимание мошенников во всевозрастающей степени будет обращаться на среду их обслуживания.

Терминал является близким окружением карты и потому, несомненно, станет мишенью для атак. Поскольку терминал сегодня фактически представляет собой персональный компьютер, то для атак будут использоваться те же методы, что и в случае PC. В частности, применение специальных программ (аналог программ spyware, Trojan horse, keyboard/screen logger, вирусов) позволит мошеннику получать интересующую его информацию о карте (например, запись второй дорожки магнитной полосы карты, значение случайной последовательности терминала и случайного числа карты, используемых для шифрования ПИН-блока, значение зашифрованного ПИН-блока и т.п.).

Полный текст статьи читайте в журнале "ПЛАС" 3 (143) ’2009 сc. 3-5


Комментарии (0):

Добавлять комментарии могут только зарегистрированные Пользователи


Читайте в этом номере:
обновить

а вы знаете, что...

… первую в мире действующую систему дистанционного банковского обслуживания для юрлиц запустил в Великобритании в 1983 г. Bank of Scotland (для компаний, входящих в National Building Society), причем в системе для приема и отправки дистанционных распоряжений по счетам использовались тогда… телефон и телевизор?