Mokėjimo kortelėms jau tinka bet koks PIN kodas (Video)  (7)

Lustinėse mokėjimo kortelėse aptikta saugumo spraga suteikia galimybę įsilaužėliams naudotis pavogta kortele net nežinant jos PIN kodo.

Kembridžo universiteto (D. Britanija) kompiuterių saugumo specialistai pranešė, kad šimtai milijonų Europos šalyse naudojamų mokėjimo kortelių su integruotais lustais turi saugumo spragą, leidžiančia į pavogtą kortelę įvesti bet kokį PIN kodą ir atlikti „teisėtą“ tranzakciją. Bankai tokios įsilaužėlių operacijos net neatpažįsta kaip neteisėtos, praneša „PC World“. Šis lustinių kortelių, kurios Europos šalyse diegiamos kaip saugesnė alternatyva JAV naudojamoms magnetinėms kortelėms, saugumo pažeidimas bus pristatytas gegužės mėnesį Kalifornijoje vyksiančioje „IEEE Symposium on Security and Privacy“ konferencijoje.

Lustinėse kortelėse esanti mikroschema patikrina, ar įvestas PIN kodas yra teisingas, ir leidžia užbaigti tranzakciją. Kembridžo universiteto specialistų tyrimo rezultatai verčia abejoti vadinamųjų EMV standarto lustinių kortelių saugumu, teigia leidinys. Tokio tipo kreditines ir debetines korteles leidžia „Europay“, „Mastercard“ ir VISA. EMV lustines mokėjimo kortelės naudojamos daugelyje Europos šalių, prie jų ruošiamasi pereiti Kanadoje. Iš viso pasaulyje naudojama apie 730 mln. tokių kortelių.

Pasak „PC World“, Europos šalių bankai jas laiko saugesnėmis už magnetines, nes kai kuriais atvejais užkertamas kelias kortelės klonavimui.

Tačiau Kembridžo universiteto kompiuterių saugumo ekspertai aptiko spragą EMV protokole, kuri POS (point-of-sale) terminalus, kurie naudojami atsiskaitymui kortelėmis, „įtikina“, kad įvestas bet koks 4 skaitmenų PIN kodas yra teisingas.

Kompiuterių saugumo ekspertas profesorius Rossas Andersenas su savo kolega Saaru Drimeriu BBC TV laidos „Newsnight“ žurnalistams pademonstravo, kaip veikia tokia ataka. Jiems prireikė nešiojamojo kompiuterio, FPGA (field programmable gate array) plokštės, netikros mokėjimo kortelės ir tam tikros kitos papildomos įrangos, kad priverstų susimokėti už pirkinį įvedus netikrą PIN kodą 0000.

Pasak leidinio, įvairių šalių bankai apie šią EMV lustinių kortelių saugumo spragą buvo informuoti dar prieš du mėnesius. D. Britanijos asociacijos „U.K. Payments“ atstovas priminė, jog niekada nebuvo tvirtinama, kad vadinamosios „chip-and-PIN“ mokėjimo kortelės yra visiškai saugios. Atstovo teigimu, nurodyto tipo ataka „nėra tikėtina kasdieninėmis aplinkybėmis“, o tyrimo autoriai esą sugalvojo pernelyg įmantrų būdą tokiai saugumo spragai išnaudoti.

Tačiau, pasak vieno iš tyrimo autorių Steveno J. Murdocho, nors demonstruojama techninė įranga atrodo pernelyg sudėtinga ir krintanti į akis, iš tikrųjų yra labai paprasta ją pritaikyti taip, kad ji būtų kompaktiška ir praktiškai nepastebima. Pavyzdžiui, nešiojamąjį kompiuterį galima pakeisti mažyčiu mikroprocesoriumi, o FPGA plokštę – mažesniu įrenginiu. Abi mokėjimo korteles galima pritaikyti bevieliam ryšiui, todėl neprireiks naudoti laidelio.

Specialistai pabrėžia, kad, naudojant šį elektroninio sukčiavimo būdą praėjusį gruodį ir per „Nightnews“ surengtą demonstravimą, nė vienas bankas nenustatė neteisėto kortelės naudojimo fakto. Tai reiškia, kad jų klientams, kurie dėl tokios apgavystės netektų pinigų pametus ar pavogus jų kortelę, bankai neatlygintų žalos. Iki šiol jie laikosi nuomonės, kad, įvedus teisingą PIN kodą, transakcija yra teisėta.

Kembridžo universiteto ekspertai griežtai kritikuoja EMV standartą dėl daugelio šios specifikacijos techninių problemų. Jie pabrėžia, kad padėtį dar labiau apsunkina tai, kad bankai atkakliai tvirtina, jog niekas negali pasinaudoti lustine kortele, jei nėra įvestas teisingas PIN kodas. Tačiau tyrimo rezultatai liudija, kad toks teiginys visiškai nepagrįstas.

Šiame vaizdo siužete demonstruojama, kaip galima pasinaudoti britų mokslininkų atrasta lustinių kortelių saugumo spraga.

Aut. teisės: TV3
TV3

(0)
(0)
(0)

Komentarai (7)