17 июля 2014, 15:22
Количество просмотров 248

Клонирование EMV-карты – гипотеза или реальность?

Исследователи считают, что ряд банкоматов и POS-терминалов не генерируют случайные числа правильно – т.е. так, как это предписано...
Клонирование EMV-карты –  гипотеза или реальность?

Исследователи считают, что ряд банкоматов и POS-терминалов не генерируют случайные числа правильно – т.е. так, как это предписано протоколом EMV


Несмотря на то, что два главных игрока глобального карточного рынка, Visa и MasterCard, сегодня продолжают процесс миграции на EMV-карты с технологией Chip&PIN на рынке США, это не может служить панацеей от фрод-рисков, считают зарубежные отраслевые издания. Кибермошенники придумывают новые, все более инвестиционно емкие способы обойти защитные барьеры технологии чиповых карт. Некоторые из таких мошеннических методик связаны с т. н. pre-play атаками, которые используют особенности протокола EMV, касающиеся генерации случайных чисел. Как известно, в отличие от традиционных платежных карт с магнитной полосой, в ходе осуществления операции по EMV-карте датчиком случайных чисел (ДСЧ) генерируется уникальный код для каждой «чиповой» транзакции, делая попытки преступников скомпрометировать критичную информацию для последующего изготовления поддельной карты практически бессмысленными. Однако многие теории обеспечения защиты чиповых карт от клонирования благодаря этому механизму заметно пошатнулись, когда группа британских исследователей из Кембриджского университета1


1 В состав группы входят Майк Бонд (Mike Bond), Омар Чоудари (Omar Choudary), Стивен Дж. Мердок (Steven J. Murdoch), Сергей Скоробогатов и Росс Андерсон (Ross Anderson) c факультета компьютерных наук.


в 2012 г. обнаружила уязвимость EMV-карт для клонирования, опубликовав отчет под названием «Чипы и скимминг: клонирование EMV-карт посредством атак pre-play» (“Chip and Skim: cloning EMV cards with the pre-play attack”). На состоявшемся в мае 2014 г. очередном симпозиуме в Сан-Хосе (Калифорния, США), проводимом ассоциацией IEEE по вопросам безопасности и защиты персональных данных (IEEE Symposium on Security and Privacy), группа исследователей из Кембриджского университета дополнила свое предыдущее исследование новой информацией. На этот раз исследователи указали в общей сложности на две критичные уязвимости, которые делают EMV-карты уязвимыми для атак pre-play.

Первый из выводов доклада касался выявленной возможности подбирать для последующей компрометации данных EMV-карт генерируемые банкоматами и POS-терминалами случайные числа (unpredictable numbers или UN), которые в рамках EMV-протокола требуются для безопасной аутентификации транзакционного запроса. Исследователи считают, что ряд банкоматов и POS-терминалов не генерируют случайные числа надлежащим образом, т. е. так, как это предписано протоколом EMV. Эта уязвимость, полагают они, может быть использована кибермошенниками для клонирования кредитных и дебетовых чиповых карт, в результате которого банковские системы безопасности будут не в состоянии отличить мошенническую транзакцию от настоящей в принципе

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube