Кардеры воруют PIN-коды из аппаратных модулей шифрования

image

Теги: кардер, банкомат, HSM

Индустрия «кардерства» вышла на новый уровень: официально подтверждены случаи кражи PIN-кодов из «святая святых» любой платежной системы — модулей аппаратного шифрования HSM.

Индустрия «кардерства» вышла на новый уровень: официально подтверждены случаи кражи PIN-кодов из «святая святых» любой платежной системы — модулей аппаратного шифрования HSM (Hardware Security Module – защищенный аппаратный модуль шифрования/дешифрования).

Раньше пользователи платежных карт беспокоились насчет фишинга, скиммеров (похищение PIN-кода с помощью установки на банкомат камер и другого нелегального оборудования), скаммеров (мошенничество с использованием предложений обогатиться, вроде писем из Нигерии) и прочих видов обмана. Теперь же проблемы коснулись тех частей банковской системы, на которые простой пользователь повилять не в силах. Некоторое время назад эксперты по банковской безопасности предупреждали производителей, что теоретически существует способ перехвата PIN-кодов через модули HSM, но первый случай фактического использования этой потенциальной уязвимости обнаружен лишь в 2009 г.

Выяснилось, что при наличии сообщника внутри банка преступники могут записывать PIN-коды в зашифрованном и открытом виде, потому что администраторы банков по разным причинам изменяют стандартную конфигурацию HSM-модулей. Обычно это происходит из-за неспособности или нежелания администратора решить проблемы совместимости с унаследованными приложениями или с «непослушными» банкоматами за счет использования стандартных процедур и инструментов – тогда администратор просто отключает некоторые стандартные механизмы, и на каком-то этапе обработки PIN-коды оказываются незашифрованными, причем система контроля просто не замечает этого, так как далее они передаются снова в закодированном виде.

Так или иначе, потенциальное похищение PIN-кодов без участия владельца карты создает серьезную угрозу безопасности и подрывает доверие ко всей банковской системе. По мере того как вводимые коды на разных этапах обработки проходят множество ступеней шифрования и декодирования, у злоумышленников появилась реальная возможность установить на одном из HSM-модулей собственные программы, которые перехватывают PIN-коды в открытом виде, либо в зашифрованном, но доступном для декодирования.

По заявлениям производителей HSM-модулей, их продукция поставляется заказчикам со стандартными настройками, которые не допускают подобных атак. В то же время, установкой и настройкой таких модулей могут заниматься не всегда добропорядочные люди, так что система действительно уязвима. Следует отметить, что полного решения новой проблемы банкам придется как минимум проверить настройки HSM-модулей во всех банкоматах и серверах, а это дорогостоящий процесс. В противном случае скомпрометированную платежную систему придется создавать с нуля, а это тоже обойдется недешево.


или введите имя

CAPTCHA
Страницы: 1  2  3  
протев
16-04-2009 16:05:33
Совсем кроберы обноглеле ! Безобразие, уже и банкоматы похекале !1 пре кротите ! (в банкоматах есть антивирусы ?)
0 |
48652
16-04-2009 16:10:49
Банкоматы не нужны! Получайте деньги в кассе!
0 |
16-04-2009 17:04:51
Банкоматы не нужны! Получайте деньги в кассе!В километровой очереди с бабушками
0 |
19-04-2009 11:39:53
Ну или не получайте вовсе, как следует из текста выше.
0 |
kolya
16-04-2009 19:25:55
Это не про банкоматы, а про платёжные системы. Не партесь!!!
0 |
Фанат Онотоле
16-04-2009 22:52:25
Когдоже Онотоле наконец то их покораэ! 37957
0 |
хекхек
17-04-2009 02:38:55
скробберы! (в месте) !!!!!!!!!!!!! //длинный-хек-скамментарий //длинный-хек-скамментарий //длинный-хек-скамментарий
0 |
Bob_St
18-04-2009 15:51:46
(в банкоматах есть антивирусы ?)а то... они в основном работают под ОС ХР, реже 2000 и NT4, и освем Ыногда под "полуосью"
0 |
80330
24-04-2009 17:41:53
Полуось еще жива оО? Вспоминая старых ушедших ОС, которые пылятся на полках, а может еще под беось поставить туды? =)
0 |
Diablo
29-04-2009 11:25:10
То что написано вообще мало вероятно, т.к. если и можно снять, то только шифрованую маску, расшифровать без ключа не получится, а если есть посредник в банке, то это наверное худший из вариантов мошенничества. А если использовать шифрованую маску то это надо проторчать у банкомата пол часа с оборудованием, а это жеское палево))) а если банки косячат с HSMом, то могу посоветовать не работать с такими банками, а выбирать более известные и проверенные:)
0 |
16-04-2009 16:46:35
Если инсайдер работает в процессинге, есть более простые способы получить пины, которые не требуют никаких хитрых программ.
0 |
ВАся
16-04-2009 16:52:25
Инсайдер плиз отошли мне на почту мой пин ) с меня пыво , я пасс забыль ( та бабоса немного как раз на пыво тебе и мине ) и похавать
0 |
Онаним
16-04-2009 17:40:56
"Теперь же проблемы коснулись тех частей банковской системы, на которые простой пользователь повилять не в силах" это ужасно! *нервно виляет на банкомат*
0 |
green
16-04-2009 17:47:59
Буквально недавно были вирусы для банкоматов, которым влазить в работу никаких HSM-модулей не надо для того чтобы узнать ПИН. Ключевая фраза в этой статье: а это тоже обойдется недешево. Т.е. администраторы долгое время раздолбайничали, порою несоблюдая инструкции и правила настройки этих модулей, а теперь когда появились очень серьёзные вирусы для банкоматов, необходимо и HSM-модули в порядок привести (на всякий случай), и возникает вопрос - "а как?" ведь банкоматов дофига, и проблема копилась годами, но в тоже время решать как то надо... вот и решили такой статьёй народ накормить, и бабла под своё же разгильдяйство выбить.
0 |
16-04-2009 22:54:51
как страшно жить... Работая под учётной записью локального администратора с дефолтовым именем и паролем 12345, без антивируса, открутив у осла все настройки безопасности на минимум, без сервис-паков и обновлений - вы ССЗБ. Но если вы злобуратините клиентам - пора вводить систему выборочных расстрелов.
0 |
Страницы: 1  2  3