Найдена уязвимость в "чипованных" платежных картах

image

Теги: пластиковая карта, чип, уязвимость, PIN-код, новость

Британские ученые выяснили, что дебетовые и кредитные банковские карты, использующие протокол EMV (Europay, MasterCard, Visa), можно использовать в некоторых транзакциях без действительного PIN-кода, что открывает перед мошенниками богатые возможности для преступлений.

Исследователи из Кембриджского университета (Великобритания) обнаружили фундаментальную уязвимость в так называемых "чипованных" платежных картах. Ученые выяснили, что дебетовые и кредитные банковские карты, использующие протокол EMV (Europay, MasterCard, Visa), можно использовать в некоторых транзакциях без действительного PIN-кода, что открывает перед мошенниками богатые возможности для преступлений.

Исследование показало, что существует возможность создать устройство, которое может перехватывать и изменять поток данных между картой и платежным терминалом. Такое устройство может обмануть терминал и провести платеж без ввода PIN-кода. Ученым удалось провести платежи без PIN-кода с карточками шести эмитентов, в том числе Barclaycard, Co-operative Bank, Halifax, Bank of Scotland, HSBC и John Lewis.

Пока не раскрываются все подробности атаки, однако известно, что для проведения мошеннической операции достаточно поместить украденную карту в серийный считыватель карт, который умещается в рюкзаке. Перехваченные данные с украденной карты с помощью специальных программ помещаются на фальшивую карту, которая затем вставляется в платежный терминал. Фальшивая карта подает на терминал специальный сигнал, в результате чего терминал считает, что введен корректный PIN-код, хотя мошенникам совсем необязательно знать этот код – транзакция будет считаться проверенной.

Раньше чиповые карты считались гораздо более защищенными, чем карты с магнитной полосой. Данное исследование показало, что даже эти карты не могут считаться неуязвимыми, несмотря на проверку секретного PIN-кода.


или введите имя

CAPTCHA
Страницы: 1  2  3  
Нанобот
14-02-2010 21:23:12
насколько я помню, в emv данные чипа подписываются приватным ключём карты (который, в свою очередь, подписан ключём банка), который очень трудно выдрать из карты. потому, фальшивую (кривоподписаную) карту терминал должен распознать раньше, чем начнёт авторизацию или транзакцию
0 |
П
14-02-2010 22:01:08
Они в статье и не говорят, что можно сделать копию карты, они пишут как использовать карту посредник отказаться от проверки ПИНа. В результате карта будет думать, что ПИН не спрашивали, а терминал, что проверили успешно.
0 |
17-02-2010 03:48:01
КлючОм.
0 |
24-08-2010 16:41:02
очень много банкоматов каторые не просят чип даже если он есть так что если есть материал давай отработаем
0 |
24-08-2010 16:48:17
привет а есть где взять материал есть возможность нажить реальные бабки можно с чипом и пином очень многие железные друзья не просят чип даже если он есть на пердуле
0 |
-
14-02-2010 22:18:41
Нищеброды не боятся!
0 |
46746
15-02-2010 01:26:31
могу и без британского гражданства сказать что: ...всё что произведено\придуманно банковскими структурами -- расчитанно только на показуху (показуху надёжности)... даже СМЕШНО думать о том что чтото там может быть реализованно -- безопсно!! ..."если <ктото> \"взломал\" <чтото> -- то ЭТОГО ЧЕЛОВЕКА нада посадить в тюрьму" -- вот на что ращщитана вся "безопасность" банков
0 |
24-08-2010 16:48:46
привет а есть где взять материал есть возможность нажить реальные бабки можно с чипом и пином очень многие железные друзья не просят чип даже если он есть на пердуле
0 |
гыгы
15-02-2010 08:50:09
у нас кроме сбера никто и не торопится внедрять чипы...так что беспокоится вообще неочем )) хотя и сбер в последнее время стал карты без чипов выдавать по старинке...
0 |
spunky
15-02-2010 08:55:05
и ты считаешь, что они не торопятся именно по причине отсутствия безопасности у чипованых карт?
0 |
гыгы
15-02-2010 09:50:08
с чиво ты взял ? тролль шоле 7
0 |
24-08-2010 16:49:30
привет а есть где взять материал есть возможность нажить реальные бабки можно с чипом и пином очень многие железные друзья не просят чип даже если он есть на пердуле=на карте
0 |
Иваныч
15-02-2010 10:23:58
Мастербанк уже давным давно выдает чиповые карты.
0 |
Прохожий
15-02-2010 11:12:03
С какого дерева слез? Сбер-самый отстойный и уторможенный банк. Вылезает за счет наследства exUSSR... А чип-карты эммитируют: Авангард, Альфа.. итд по алфавиту...
0 |
Guy
17-02-2010 09:20:20
Альфа? Дайте ссылку! Или вы о событиях давней давности?
0 |
Сергей
15-02-2010 09:03:24
Есть куча мест, где чипованные кредитные карты принимаются под подпись без введения PIN-кода. Это означает, что данные кредитной карты и так считываются без PIN. Что же тогда взломали?
0 |
Иваныч
15-02-2010 10:26:51
С Visa Electron без ввода PIN нельзя провести транзакцию. Вот это и взломали. Скорее всего это также означает, что можно этим способом снимать деньги из банкомата просто украв карту.
0 |
Шрифт
15-02-2010 11:40:49
На визе электрон нет чипа. Чипуются только виза классик и голд. Ну и с классик и с электрона никто не мешает невообразно втариваться в супермаркетах под роспись на чеке))) А у классик вообще достаточно качественной фоты с обратной стороны чтобы втариваться по интернету, переводить в вебмани и т.п. ПИН нужен только чтобы в банкомат пихать и баланс узнать. С3.14здить бабок с чьей то карточки дело пустяковое. Проще даже чем кошель с кармана вытащить.
0 |
Шрифт
15-02-2010 11:45:36
Достаточно качественную камеру на радиоканале и на батарейках положить на витрину чтоб в кассу смотрела. Надо, правда, чтоб эта камера спокойно читала газету в том месте, но это не проблема. Сидим рядом в машине и смотрим и записываем. Улов гарантирован. Для потыренья с визы классик нужно подсмотреть полный номер карты, кардхолдера, дату и 3 мелких циферки с обратной стороны карты. Далее перегружаем на левый вебмани через обменник, переводим куданьть ещё и ещё и т.п.
0 |
24-08-2010 16:45:29
привет а есть где взять материал есть возможность нажить реальные бабки можно с чипом и пином очень многие железные друзья не просят чип даже если он есть на пердуле
0 |
malotavr
15-02-2010 13:59:20
1. Наличие чипа не означает, что авторизация будет производиться обязательно с PIN-кодом. Чипа, помимо криптографической стойкости, содержит приложения, которые позволяют карте (!) принять решение, например, проводить ли транзакцию, если ее вставили в POS-терминал без PIN-пада. 2. Карта с чипом поддерживает двойной механизм авторизации: по чипу и по магнитной полосе. Вы можете вставить ее в POS, не поддервающий чипы - и она будет работать по-старинке. Решение о том, какой механизм использовать, принимает терминал банка-эквайера. При этом в США и Европе действет "сдвиг ответственности": если банк авторизовал чипованную карту по магнитной полосе, он сам несет ответственность за фрод.
0 |
Страницы: 1  2  3