Why GSM-Based ATM Skimmers Rule — Krebs on Security krebsonsecurity.com

Volodymyr Styran • Классный дядька.

Я всего два хороших журналиста от ИТ-безопасности знаю, Кребса и Патрика Грея из risky.biz. Может кого-то еще стоит читать/слушать?

Igor Mordiuk • Прошу пролить свет для личного понимания на след вопрос:
скример считывает информацию с магнитной полосы. На магнитной номер карточки, дата окончания действия карты, НО отсутствует CVV котоый необходимо знать для проведения операции с карточкой. Что собственно нам дает номер карточки и дата окончания действия карты?

Dmytro Ponomarov • как правило, скимминговые устройства устанавливаются из двух частей: накладка на картоприёмник и накладка на клавиатуру. т.е. первый считывает информацию с магнитной полосы, второй - PIN. этого достаточно для изготовленияф белого пластика. собственно говоря, на видео в статье такие и продемонстрированы.

если же говорить только о PAN номере и expiration date, то этого, в свою очередь, достаточно для того чтоб иметь возможность платить в интернете - множество мерчантов принимают платежи без CVV.

Igor Mordiuk • Спасибо, Дмитрий. Все четко разложили по полочкам.

От себя только хочу добавить, что все больше и больше мерчантов требуют ввод CVV.

Volodymyr Styran • Это, несомненно, хорошо. Но скиммеры, насколько мне известно, ориентированы на сбор информации о карточках для их дальнейшей подделки. Так что CVV хорош для Интернет-платежей, а против скиммеров желательно использовать чипованные карты.

Dmytro Ponomarov • это так. плюс многие если и не используют для авторизации транзакций, то хотя бы для верификации карты (тот же пейпал). с другой стороны найти точку, которая не требует CVV не составит большого труда. чего только стоят отели - почти все из них не требуют ввода CVV

Vitaliy Sydorovych • 2 Igor: Считування магнітної полоси карти дозволяє виготовити дублікат карти та використати його у торгівельній мережі або (знаючи ПІН код - який як правило паралельно зчитується мікро-камерою) у банкоматах.

Dmytro Ponomarov • кстати, что касается чипованых карт. я, к сожалению, не имею большого опыта работы с ними, но, насколько я понимаю, то простого EMV compliance-a может быть недостаточно. причина этого - большое количество параметров протокола, которые могут быть изменены на уровне процессинга в рамках всё того же EMV compliance-a и которые могут существенно повлиять на его безопасность.

хороший пример - исследование безопасности Британских chip and PIN карт http://www.cl.cam.ac.uk/~sjm217/papers/oakland10chipbroken.pdf

да, удачная атака была продемонстрирована только на оффлайн транзакции, но учитывая то что многие считают EMV абсолютно надёжным, я очень сомневаюсь насчёт того уделяется ли достаточное внимание анализу рисков и параметризации протокола. ну и плюс я не уверен что банки могут полностью отказаться от оффлайн транзакций, ввиду того что это является одним из продуктов.

и ещё про скиммеры, Виталий правильно подметил - часто также используются скрытые камеры (pin hole-ы).

Igor Mordiuk • тогда возникает след вопрос: опустив дискусии приходим к тому, что считывать инф. с чипа так-же возможно, как и с магнитной полосы. Что нам предлогает (конечно кроме возможности заработать платежным системам деньги на этом внедрении) использование EMV по сравнению с магниткой? Может быть отечественные банки правы в том, что не спешат массово вводить подмену магнитным картам?

Dmytro Ponomarov • основное отличие EMV - не только владелец, но и карта аутентифицируется. это в теории как раз и даёт защиту от подделаных карт. с т.з. безопасности, отечественные банки не правы, конечное, поскольку EMV это всё же шаг вперёд. другое дело что внедрять его нужно правильно и хорошо понимая какая параметризация нужна.

совершенно другой вопрос - правы ли они что не внедряют EMV с финансовой точки зрения. я не знаю конкретных цифр о том сколько стоит внедрение, но точно - дорого. для организации аргументы что ROI от внедрения EMV будет огромным, репутационные потери будут снижены другим способом и пока финансовые потери от кражи cardholder data невысоки, достаточны для того чтоб оттягивать это самое внедрение как можно дольше

Vladimir Gninyuk • Я прошу прощения, но мне кажется, допущена маленькая неточность в рассуждениях:

требует ваш продавец «а-ля CVV» код или нет - это не столь важно, важно, что бы данную верификацию требовал банк, имитирующий карточку. Украинские (и европейские) банки, как правило, требуют. Следовательно, для проведения транзакции необходимо будет позвонить в банк и попросить разрешение на операцию без проверки «а-ля CVV», сообщив при этом информацию отсутствующую на карточке. Так, что не все так страшно.

И еще, хотелось бы отметить:

1 - Пора прекратить печатать коды «а-ля CVV» на карточке и начать передавать их в конверте.
2 - Повышать культуру использования платежных карт: сама идеология отрицает «наличность» и банкоматы должны рассматриваться, как «атавизм традиционной платежной системы», а следовательно «общение» с ними должно быть минимизировано или происходить в «доверенных зонах».

Снова вернулись к «осведомленности» ;-)

Vitaliy Sydorovych • Vladimir, згоден на рахунок банкоматів, проте з таким же успіхом скімери можна ставити на платіжні термінали. Не кажучи вже про те, що термінал, на відміну від банкомата, можна повністю підмінити.

Vladimir Gninyuk • я цього не заперечую :-)

Те що система вразлива - факт, але всі системи вразливі. Задача проводити заходи, що знижують ризики...

Dmytro Ponomarov • нну тут такой момент что далеко не все мерчанты умеют работать с транзакциями авторизоваными с помощью CVV. даже такие гиганты как пейпал (как я говорил ранее, CVV используется для начальной верификации карты). да, есть ещё 3d secure, но он, мягко говоря, не очень распространён и тоже стоит денег. более того, насколько я знаю, он ничего радикального не добавляет к безопасности платежей и, в основном, используется как инструмен выигрывания chargeback-ов.

почему такая ситуация с мерчантами и прочими печатаниями CVV, я не знаю. склоняюсь к мысли, что это результат несовершенства платёжных систем в вопросе безопасности, а так же то, что они в своё время не привлекали внешних экспертов ни к разработке, ни даже к тестированию стандартов и протоколов. ну и отдельным пунктом стоит нежелание платёжных систем вообще признавать проблемы с безопасностью текущей реализации пластиковых карт и платежей в интернете (хотя тут причина очевидна - деньги. слишком дорого будет изменить всю устоявшуюсь систему).

Vladimir Gninyuk • Более 90% американских продавцов (включая Амазон и Гугл) CVV не обрабатывает и не думаю, что "не умеют", думаю, что "не хотят". Но деньги на них отправить можно, процедуру я описал

Dmytro Ponomarov • ну тогда стоит отметить что не все банки будут (в силу технических ограничений или отсутствия необхоимых ресурсов) временно разблокировать транзакции без CVV по карте.

Kostiantyn Korsun • недавно на конференции в Москве представитель Master Card заявил, что полная миграция на EMV-карты и CNP-операции/3D Secure произойдет в течении ближайших 10-15 лет, так что хотим мы или не хотим - а придется тащиться вслед за прогрессом. Он же озвучил цифры: в 2009 г. в мире было 32 млн. терминалов, а в 2014 ожидается 45 млн., т.е. скоро терминалы будут находиться на кухне домохозяйки

Dmytro Ponomarov • немного не по теме, но это, мне кажется, всё же наиболее подходящее место для вопроса.

коллеги, а подскажите, пожалуйста, какие риски существуют для владельца пластиковой карты, если информация о ней (PAN, expiration, owner) была скомпроментирована, но банком установлена обязательная проверка CVV для card-not-present транзакций?

Vitaliy Sydorovych • Власне кажучи, номер карти, exp date та owner - це все, що як правило міститься на магнітній стрічці карти. Тобто знаючи цю інформацію можливо зробити дублікат карти та використати у торгівельній мережі.

• • Reply privately
• • Delete
• • Flag as promotion