Nedavno su se Sjedinjene Države prebacile iz nebezbedne magnetne trake u kreditne i debitne kartice na bolje zaštićene chip-and-PIN kartice, koje su regulisane standardom EMV. To je veliki korak ka povećanju sigurnosti transakcija i smanjenju prevare na karticama, a možda se smatralo da se približava kraj vrsti kartične prevare koja se oslanjala na kloniranje.
Međutim, naši istraživači su nedavno otkrili da je grupa cybercrooks iz Brazila razvila način da ukrade podatke o karticama i uspešno klonirala chip-and-PIN kartice. Naši stručnjaci su predstavili svoja istraživanja na Samitu bezbednosti analitičara 2018. godine, a ovde ćemo pokušati da objasnimo taj složeni rad u kratkom postu.
Jackpotting bankomati
Dok su istraživali zlonamerne programe za ATM jackpotting koje koristi brazilska grupa pod imenom Prilex, naši istraživači su pronašli modifikovanu verziju ovog malvera sa nekim dodatnim osobinama koje su korištene da zaraze terminalne terminale (POS) i prikupljanje podatake o karticama.
Ovaj malver je bio u mogućnosti da modifikuje POS softver kako bi trećoj strani omogućio snimanje podataka koje POS-a prenosi u banku. Tako su lopovi dobili podatke o kartici. U osnovi, kada plaćate u lokalnoj trgovini čiji je POS terminal zaražen, podaci o vašoj kartici odmah se prenose na kriminalce.
Međutim, podaci o karticama su samo pola bitke; da ukradu novac, takođe su morali da kloniraju kartice, proces koji je komplikovan zbog čipova i njihova višestruka autentifikacija.
Grupa Prilex je razvila celu infrastrukturu koja omogućava svojim “klijentima” kreiranje kloniranih kartica – što u teoriji ne bi trebalo da bude moguće.
Da biste saznali zašto je to moguće, prvo biste želeli da sagledate kako EMV kartice funkcionišu. Što se tiče kloniranja, trudićemo se da ga objasnimo što jednostavnije.
Kako funkcioniše chip-and-PIN standard
Čip na kartici nije samo fleš memorija, već mali računar sposoban za pokretanje aplikacija. Kada se čip uvede u POS terminal, započinje niz koraka.
Prvi korak
se zove inicijalizacija: Terminal prima osnovne podatke, kao što su ime vlasnika kartice, datum isteka kartice i lista aplikacija kojima se kartica može pokrenuti.
Drugo
je neobavezan korak pod nazivom autentifikacija podataka. Ovde terminal proverava da li je kartica autentična, proces koji podrazumieva validaciju kartice koristeći kriptografske algoritme. To je komplikovanije nego što jeste ali se ovde o tome ne treba baviti.
Treći
je još jedan neobavezni korak nazvan provera vlasnika kartice; korisnik kartice mora da obezbedi PIN kod ili potpis (u zavisnosti od toga kako je programirana kartica). Ovaj korak se koristi da bi se osiguralo da osoba koja pokušava da plati karticom je zapravo ista osoba za koju je izdata kartica.
Četvrto,
transakcija se dešava. Imajte na umu da su samo koraci 1 i 4 obavezni. Drugim rečima, autentifikacija i verifikacija se mogu preskočiti – tu dolaze Brazilci.
Carding neograničeno
Dakle, imamo karticu koja je u stanju da pokreće aplikacije, a tokom svog prvog rukovanja, POS traži karticu za informacije o dostupnim aplikacijama. Broj i složenost koraka potrebnih za transakciju zavise od dostupnih aplikacija.
Klonirane kartice stvorile su Java aplikaciju za pokrenute kartice. Aplikacija ima dve mogućnosti: Prvo, govori da za POS terminal ne postoji potreba za proverom autentičnosti podataka. To znači da nema kriptografskih operacija, dozvoljavai im skoro nemoguće zadatake dobijanja privatnih kriptografskih ključeva kartice.
Ali to i dalje ostavlja PIN autentikaciju. Međutim, u EMV standardu postoji mogućnost da izaberete kako entitet proverava da li je PIN tačan … vaša kartica. Ili, tačnije, aplikacija koja se pokreće na vašoj kartici.
Čitali ste to pravo: Aplikacija sajber kriminala može da kaže da je PIN važeći, bez obzira koji je PIN unesen. To znači da lopov koji koristi karticu može jednostavno uneti četiri slučajna broja – i oni će uvek biti prihvaćeni.
Prevara kartice kao usluga
Infrastruktura Prilex kreirana uključuje Java aplet koji je gore opisan, klijent aplikacija pod nazivom “Daphne” za pisanje informacija o pametnim karticama (uređaji za čitanje smarta / pisača i prazne pametne kartice su jeftini i potpuno legalni za kupovinu.) Koristi se ista aplikacija za proveru iznosa novca koji se može povući sa kartice.
Infrastruktura takođe uključuje bazu podataka sa brojevima kartica i drugim podacima. Bez obzira da li je kartica debitna ili kreditna; “Daphne” može kreirati I klonirati oboje. Kvitnici to sve prodaju kao paket, uglavnom drugim kriminalcima u Brazilu, koji zatim stvaraju i koriste klonirane kartice.
Zaključak
Prema Aiteovom izveštaju o globalnoj potrošačkoj kartici kompanije Aite za 2016, sigurno je pretpostaviti da su svi korisnici kompromitovani. Bez obzira da li koristite karticu sa magnetnom trakom ili sigurniju karticu sa čipom i PIN-om, nije važno – ako imate karticu, verovatno je ukradena njegova informacija.
Sada kada su kriminalci razvili metod da stvarno kloniraju kartice, to počinje izgledati kao veoma ozbiljna finansijska pretnja. Ako želite izbeći gubitak značajnih novčanih sredstava putem prevara sa karticama, preporučujemo vam sledeće:
Vodite računa o istoriji transakcija kartice, koristeći mobilne push ili SMS obaveštenja. Ako primetite sumnjivu potrošnju, pozovite svoju banku i odmah blokirajte karticu.
Koristite AndroidPay ili ApplePay ako je moguće; ovi metodi ne otkrivaju podatke o kartici POS. Zbog toga se mogu smatrati sigurnijim od ubacivanja kartice u POS.
Koristite zasebnu karticu za plaćanje putem Interneta, jer je verovatnije da će ova kartica biti ugrožena od onih koje koristite samo u prodavnicama. Nemojte držati velike sume novca na kartici.
Alex Perekalin
