Безопасна ли ваша банковская карта с чипом? Зависит от банка

Автор оригинала: Brian Krebs
  • Перевод


Банковские карты с чипом разработаны так, чтобы не было смысла клонировать их с помощью скиммеров или вредоносных программ, когда вы расплачиваетесь, используя чип карты, а не магнитную полосу. Однако несколько недавних атак на американские магазины показывают, что воры эксплуатируют слабые места реализации этой технологии некоторыми из финансовых организаций. Это позволяет им обходить чип карточки и, по сути, создавать пригодные для использования подделки.

Традиционно пластиковые карты кодируют данные счёта владельца прямым текстом на магнитной полоске. Скиммеры или вредоносное ПО, скрытно установленные в терминалы для оплаты, могут считать с неё данные и записать их. Затем эти данные можно закодировать на любую другую карточку с магнитной полосой и использовать для мошеннических финансовых операций.

В более современных картах используется технология EMV (Europay + MasterCard + Visa), шифрующая данные учётной записи, хранящиеся на чипе. Благодаря этой технологии каждый раз, когда карта взаимодействует с терминалом, поддерживающим чипы, генерируется единовременный уникальный ключ, который называют токеном или криптограммой.

Практически на всех картах с чипом хранятся те же самые данные, что закодированы на магнитной полосе карточки. Это сделано для обратной совместимости, поскольку очень многие продавцы в США до сих пор не перешли на терминалы с поддержкой чипов. Эта двойная функциональность также позволяет владельцам карт использовать магнитную полосу, если чип карты или терминал продавца работают неправильно.

Однако между данными, хранящимися на чипе EMV, и данными на магнитной полосе, существует несколько отличий. Одно из них – это компонент чипа под названием «код проверки карты с интегральной микросхемой», или iCVV, который также иногда называют «динамическим CVV».

iCVV отличается от кода подтверждения карты CVV, хранящегося на магнитной ленте, и защищает от копирования данных с чипа и их использования для создания поддельных карт с магнитной полосой. И iCVV, и CVV не связаны с тем трёхзначным цифровым кодом, который напечатан на обратной стороне карточки, и который обычно используется для оплаты в интернет-магазинах или подтверждения карты по телефону.

Плюс подхода EMV в том, что даже если скиммер или вирус перехватывает информацию о транзакции с картой, эти данные будут действительными только для этой транзакции, и в будущем уже не должны позволить ворам проводить мошеннические платежи.

Однако, чтобы вся эта система безопасности работала, бэкенд-системы, развёрнутые финансовыми организациями, выпускающими карты, должны проверять, что в случае, когда карта вставлена в терминал, вместе с данными выдаётся только iCVV, и наоборот, что при оплате магнитной полосой выдаётся только CVV. Если эти данные не совпадают с выбранным типом транзакции, финансовая организация должна эту транзакцию отклонить.

Проблема в том, что не все организации правильно настроили свои системы. Неудивительно, что воры знают об этих слабых местах уже много лет. В 2017 году я писал об увеличении процента использования "шиммеров" – высокотехнологичных скиммеров, перехватывающих данные с транзакций, сделанных при помощи чипа.


Шиммер, обнаруженный в канадском банкомате

Недавно исследователи из Cyber R&D Labs опубликовали результаты исследования, в котором они тестировали 11 видов реализации чипа на картах от 10 различных банков Европы и США. Они обнаружили, что могут снимать данные с четырёх из них, после чего создавать клонированные карты с магнитной полосой, и успешно использовать их для платежей.

Есть все основания полагать, что метод, подробно описанный Cyber R&D Labs, используется вредоносными программами, устанавливаемыми в терминалы магазинов. Программы перехватывают данные транзакций с EMV, которые затем можно перепродавать и использовать для изготовления копий карт с чипом, но использующих магнитную полосу.

В июле 2020 крупнейшая платёжная сеть в мире Visa выпустила предупреждение об угрозах в безопасности, касающихся терминалов скомпрометированного недавно продавца. В их терминалах вредоносные программы были исправлены так, чтобы работать с картами с чипом.

«Реализация безопасных технологий платежей типа EMV Chip значительно уменьшила пользу от платёжных данных учётной записи для третьих лиц, поскольку в эти данные входят только номер личного счёта PAN, код проверки карты iCVV и дата окончания действия данных, — писала Visa. – Поэтому при правильном подтверждении iCVV риск изготовления подделки был минимальным. Кроме того, многие продавцы использовали терминалы с шифрованием данных P2PE, шифрующие PAN, что ещё сильнее уменьшает риск проведения платежей».

Название продавца упомянуто не было, однако нечто похожее, судя по всему, случилось в сети супермаркетов Key Food Stores Co-Operative Inc., находящихся на северо-востоке США. Изначально Key Food раскрыла подробности о взломе карт в марте 2020, но в июле 2020 обновила заявление, уточняя, что данные по транзакциям EMV также были перехвачены.

«Терминалы в магазинах поддерживали EMV, — поясняет Key Food. – По нашему мнению, вредоносные программы во время транзакций на этих точках могли перехватить только номер карты и срок окончания её действия (не имя владельца и не внутренний код подтверждения)».



Технически, заявление Key Food можно считать правильным, однако оно приукрашивает реальность – украденные данные EMV всё равно можно использовать для создания вариантов карточек с магнитной полосой, которые затем можно использовать на тех кассах, где установлены терминалы с вредоносным ПО, когда выпускавший карту банк не реализовал защиту EMV корректно.

В июле компания Gemini Advisory, специализирующаяся на защите от мошенников, опубликовала запись в блоге, где подробно описала произошедшие в последнее время взломы продавцов – включая и Key Food – в результате которых были украдены данные по EMV-транзакциям, которые затем появились в продаже в нелегальных магазинах для кардеров.

«Платёжные карты, украденные во время этого инцидента, предлагались к продаже в дарквебе, — поясняют в Gemini. – Вскоре после обнаружения этого инцидента несколько финансовых учреждений подтвердили, что все участвовавшие в нём карты обрабатывались через EMV, не полагаясь на магнитную полосу в качестве резервного метода».

В Gemini говорят, что подтвердили, что ещё один инцидент с безопасностью, произошедший в алкогольном магазине штата Джорджия, также привёл к компрометации данных по EMV-транзакциям, в результате чего позднее они появились в дарквебе на сайтах, продающих краденные карточки. Как отметили Gemini и Visa, в обоих случаях правильное подтверждение данных iCVV от банков должно было сделать эти данные бесполезными для мошенников.

В Gemini определили, что само количество пострадавших магазинов говорит о том, что очень маловероятно, чтобы воры перехватывали EMV-данные посредством вручную установленных EMV-шиммеров.

«Учитывая непрактичность подобной тактики, можно заключить, что они использовали другую технику для проникновения в терминалы оплаты и сбора достаточного количества данных по EMV для осуществления EMV-Bypass Cloning»,- написала компания.

Стас Алфёров, директор Gemini по исследованиям и развитию, сказал, что финансовые учреждения, не проводящие подобные проверки, теряют возможность отследить случаи неправомерного использования таких карточек.

Дело в том, что многие банки, выпустившие карты с чипами, считают, что пока их используют для транзакций с применением чипа, риск их клонирования и продажи на подпольных рынках практически отсутствует. Поэтому когда эти организации ищут закономерности в мошеннических транзакциях, чтобы определить, оборудование каких продавцов оказалось скомпрометированным вредоносным ПО, они могут совершенно упустить из виду платежи, совершённые при помощи чипов, и сконцентрироваться только на тех кассах, где покупатели проводили карту полосой.

«Карточные сети начинают понимать, что в настоящее время появляется гораздо больше взломов EMV-транзакций, — сказал Алфёров. – Более крупные организации, выпускающие карты, такие, как Chase или Bank of America, уже проверяют несоответствия iCVV и CVV, и отвергают подозрительные транзакции. Однако менее крупные организации явно этого не делают».

К добру или худу, мы не знаем, какие именно финансовые организации неправильно реализовали стандарт EMV. Поэтому всегда стоит тщательно следить за своими расходами по карте и незамедлительно сообщать о любых несанкционированных транзакциях. Если ваш банк даёт вам возможность получать текстовые сообщения о транзакциях, это поможет вам почти в реальном времени отслеживать подобную активность.
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 20

    –15
    Самая эффективная и тупая защита в России — это не использовать ВИЗУ и Мастер кард без необходимости. Всё ПО для кардинга рассчитано она них. Поэтому для зарплатной карты выбираем МИР от ВТБ (у сбера не работает MIR Pay) привязываем карту к самртфону (на Андройд) — и платим им везде наслаждаясь кэшбеком 1,5% — содержание зарплатной карты оплачивает работодатель — есть нормальный брокер, т.к. банк крупный государственный нет мелкого жульничества (с мелким шрифтом и неожиданными поборами) как у Альфы и Тинькова (у Сбера кстати тоже не замечал мелкого жульничества). МИР перекрывает 100% платежей в России и в рунете + и давно принимается на АлиЭкспрес. Т.е. 95% платежей кардеры в принципе перехватить не могут или они им не интересны т.к. им не неудобно связываться с МИРом.
    Для поездок заграницу я выпускаю по 1й карте в сбере и ВТБ (одна кредитная мастеркард, другая дебетная мастеркард (в ЕС ВИЗА обходится дороже)) в принципе можно любого банка т.к. после поездки я их сразу закрываю.
    Ещё есть 1 кредитная МТС КэшьБэк с кэшбеком 5% на ВСЕ АЗС, Аптеки и развлечения +1 % на всё остальное — при таких кэшбеках сотовая связь МТС для моей семьи практически бесплатная (КэшБек можно списать на оплату сотовой связи).
      +4
      от ВТБ

      Один из самых позорных в плане клиентоориентированности банков советуете. Даже сбер, который постоянно ругают, уже на голову выше и удобнее.


      и платим им везде наслаждаясь кэшбеком 1,5%

      У меня кэшбек 3.5%, врядли я смогу наслаждаться 1.5%.


      нет мелкого жульничества (с мелким шрифтом и неожиданными поборами) как у Альфы и Тинькова

      Я клиент Альфы больше 10 лет, ни разу с жульничеством не сталкивался. В рекламируемой вами схеме, кстати, есть кредитки с честным грейсом в 100 дней, без мелкого жульничества, когда, по факту, грейс в среднем всего 30 дней, потому что он до первого полнолуния в следующем месяце?


      Какой-то ерундой вы страдаете, как по мне. Не знаю, как в ВТБ, но в нормальных банках к карте можно привязать несколько счетов в разных валютах и гибко настроить лимиты так, что вышеописанная мышиная возня теряет всякий смысл. Ну и, не очень понятно, как мне МИРом оплачивать десяток заграничных сервисов, которыми я пользуюсь постоянно.

        0
        вообще то статья и мой комментарий был не про кешбеки а про безопасность транзакций. Самый безопасный способ использовать малопопулярное у мошенников ПО и не давать реквизиты карты. Из крупных гос. банков ВТБ 2й по размеру — и он обеспечивает МИР Pay т.е. использовать МИР + не передавать даже её реквизиты, а потенциально опасные карты ВИЗУ и Мастеркард использовать только для отпуска после чего закрывать, благо открыть карту сейчас можно бесплатно. Кэшбеки и отличное обслуживание это хорошо но через 2 недели в США конец финансового года, все компании США будут переводить наличку из за бугра чтобы показать её на своих балансах + через 2 месяца выборы Трампа на 2-й срок + Белоруссия. По этому с топку клиентоориентированность, только госбанки, только Обезличенные металлические счета, только МИР (ну и ящик патронов, сигарет и антибиотиков никогда не будет лишним :-) ).
          0
          вообще то статья и мой комментарий был не про

          карты, платежи и кэшбеки вообще, а про эталонное импортозамещение (визу и мастер в топку, все на мир, потому что через 2 недели земля налетит на небесную ось, доллар рухнет, мы все умрём в США конец финансового года, все компании США будут переводить наличку из за бугра чтобы показать её на своих балансах + через 2 месяца выборы Трампа на 2-й срок + Белоруссия).
          Тоньше надо быть, тоньше.
          Вы, кстати, про госдолг и негров забыли упомянуть
            0

            вы рассист?

              0
              Расс кто, простите?
        +3
        Феерический бред ^
        Чиповый МИР соответствует на 100% спеке от EMVко, как Мастер или Виза.
        Контактлесс использует Кернел2 как и Мастеркард + свои фичи, которые никак не уменьшают безопасность.

        Отвечал автору из первого сообщения.
          0
          Поэтому для зарплатной карты выбираем МИР от ВТБ (у сбера не работает MIR Pay) привязываем карту к самртфону (на Андройд) — и платим им везде наслаждаясь


          При привязке карты к телефону создается виртуальная карта.
          Так что все равно какой является карта оригинальная.
          +2
          Основная проблема — это подделка карт с магнитной полосой. В Америке массово карты начали использовать раньше, чем у нас, и поэтому там еще старые терминалы, которые принимают только магнитную полоску, у нас я не встречал терминалов, которые принимают только магнитную полоску и не принимают чип. Более того у нас если в карте есть чип, то терминал не принимает магнитную полоску и просит вставить карту для чтения чипа, я так пару раз в магазине пробовал и там не пропускали оплату и терминал говорил давай чип, он у тебя есть. Я думаю больше нужно переживать чтобы данные карты не переписали и не купили в интернете чего-то.
            0
            Продолжу тему. Помимо чипа — Россия впереди планеты всей по бесконтактным платежам. Более 70% транзакций идёт по бесконтакту. Из них процентов 40 через те или иные кошельки (Аpple Pay, Google Pay, Samsung Pay и прочие). И банкоматы тоже постепенно переводят на поддержку бесконтакта.
            Так что такой банальный фрод с магнитными полосами у нас вообще мало распространен по причине низкой рентабельности.
              0
              В банкоматах — пин, это главное препятствие.
              Банкомат сначала читает магнитную полосу, находит на ней сервис код указывающий на наличие чип и начинает работу с чипом.
              Если приложение на чипе заблокировано то банкомат отказывает в транзакции.

              Но если чип поврежден то банкомат переходит в режим fallback to magstripe(не всегда разрешено) и пытается работать с картой по магнитной полосе — вот в таких кейсах, при знании пин-кода, чип совсем не помеха.

              Современные чиповые карты защищены асимметричной криптографией (DDA/CDA) где терминал шлёт на карту некие данные (включая случайное число), карта так же генерит некую рандомную величину и подписывает всё своим закрытым ключом. Терминал может проверить валидность подписи размотав открытый ключ карты через PKI до открытого ключа платежной системы.

              В случае CDA^эта операция происходит одновременно с генерацией картой криптограммы — спец. значения (опять же криптографического) на основе тех значений что есть на карте и переданы терминалом — криптограмма проверяется банком и он даёт ответ о решение по операций. Это лишь часть проверок.

              Скопировать можно было старые карты с SDA — static data authentication, где не было криптографического процессора и хранилась просто подпись критических элементов карты. Но таких карт нет уже более 10 лет.
                0
                Пробовал как то NFC в банкомате сбера. Пришлось несколько раз прикладывать, при том что мне положить деньги было нужно и сессию я не прерывал.
                Надеюсь что то изменили в лучшую сторону.
                  0
                  Я её просто кладу и оставляю в этой выемке для карты на время проведения операций.
                    0
                    Там NFC full-mode — эмулирует чип:
                    1. Карта генерит данные для операции
                    2. Шлём данные на хост
                    3. Получаем ответ
                    4. Отдаём его карте для проверки для окончательного вердикта и выполнения 71, 72 скриптов.

                    В классической контактной схеме шаги 1..4.

                    В бесконтакте как правило на шаге 2 уже можно забрать карту — это сделано для скорости проведения операции.

                    В банкомате можно просто оставить карту на ридере до завершения операции.
                    +1
                    Xo4y_3uMy, ох уж этот ура-патриотизм… Зачем вы так…
                    Бесконтактно (и это ЛИШЬ среди Европы и аж в 2018 году, без учета стран Океании, например):
                    Чехия — 93%
                    Грузия — 89%
                    Польша — 83%
                    Венгрия — 83%

                    Просто ссылка:
                    www.statista.com/statistics/946228/contactless-payments-market-share-at-pos-in-europe-by-country
                      0
                      Так, у меня нет подписки ) Поэтому я не могу посмотреть статистику по ссылке…
                      Тем не менее, Россия таки первая (наравне с Польшей ±) по платежам через wearable (в том числе через телефоны). Эт раз. Ну а второе — такие сладкие цифры… Наверно там приведено соотношение контактная/бесконтактная оплата. Я же дал цифры по соотношению бесконтакт/все платежи (в том числе наличные). По статистике МастерКарда от этого года более 20% Россиян прекратили использовать наличные в повседневной жизни (за редким исключением).
                  –1

                  Я так понимаю, атака возможна только если физически вставить карту в терминал? Я уже с год её не ношу, хватает телефона с NFC

                    0
                    Нет.
                      0
                      Apple/Samsung/Etc… pay не копируют карту — они сами карта, а банковский хост по-хитрому конвертит операцию.
                      0
                      Кстати про CVV: на самом деле на обороте карты он CVV2. На магнитке он CVV. На чипе iCVV а NFC генерит DCVV — свой на каждую транзакцию

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое