Positive Technologies: все банкоматы уязвимы к перехвату данных платежных карт

19 нояб 2018 14:40 #73690 от ICT
В ходе недавнего анализа защищенности банкоматов специалисты Positive Technologies выяснили, что атака с целью перехвата данных платежной карты возможна во всех банкоматах. Долгое время преступники использовали физические накладки на картридер — скиммеры, которые считывали информацию непосредственно с магнитной полосы. На сегодняшний день банки научились защищаться от таких атак и повсеместно устанавливают средства антискимминга. Тем не менее похитить данные карт можно и без использования скиммеров, причем на проведение такой атаки, если иметь доступ в сервисную зону банкомата, преступнику понадобится в среднем 15 минут. На банковской карте присутствует магнитная полоса, которая содержит информацию, необходимую для проведения операций. На дорожках карты хранятся номер карты, дата окончания срока действия, сервисный код, имя владельца, а также могут находиться дополнительные значения PIN Verification Value, Card Verification Code и Card Verification Value. Для оплаты с помощью магнитной полосы через платежный терминал или снятия наличных в банкомате устройству необходимо считать дорожку с этой информацией. Чтобы похитить данные банковской карты, преступнику нужно скопировать информацию, записанную на дорожку. Эти данные затем могут быть проданы в дарквебе, использованы для изготовления дубликатов карт и пр. К примеру, перехватить данные можно во время их передачи между OC банкомата и картридером. В ходе такой атаки между системным блоком банкомата и картридером подключается устройство, которое перехватывает содержимое дорожек магнитной полосы платежных карт. Но чтение данных из картридера возможно и без использования аппаратного устройства: в этом случае злоумышленнику необходимо установить на банкомат свою вредоносную программу. По данным Positive Technologies, такие атаки возможны в 100% исследованных банкоматов. Руководитель группы исследований безопасности банковских систем Ярослав Бабин сказал: «Бытует мнение, что атаки такого рода не грозят держателям банковских карт, выпущенных в России. Действительно, после запрета ЦБ России на использование карт только с магнитной полосой уровень мошенничества по картам стал заметно снижаться. Количество карт с чипом в России с момента выхода предписания ЦБ стало резко обгонять число таких карт в среднем по всему миру. Конечно, с каждым годом этот разрыв сокращается, и мир постепенно осознает необходимость использования карт с чипом при оплате товаров и услуг или при снятии наличных в банкоматах. Однако все равно сегодня в США и в некоторых странах Европы можно встретить магазины, которые не принимают ни карты с чипом, ни бесконтактную оплату (NFC-платежи). Вспомните, когда последний раз вам приходилось "свайпать" (проводить магнитной полосой) карту где-нибудь в России. Наверняка, это было очень давно. А вот при недавней поездке за рубеж вас точно хотя бы однажды просили "свайпнуть" карту при оплате, отказывались принимать бесконтактный платеж или даже предлагали подписать чек, выдаваемый терминалом, что, согласитесь, у нас большая редкость». За границей, в частности в США, использование магнитной полосы карты при оплате широко распространено. «В большинстве случаев злоумышленнику, для того чтобы воспользоваться вашей картой, нужно спровоцировать так называемый технический отказ в обслуживании (technical fallback), когда "по техническим причинам" не удается использовать чип. В этом случае продавец предлагает совершить оплату по старинке, с помощью магнитной полосы. Так что злоумышленнику ничего не стоит украсть описанными в отчете способами данные карты у клиента российского банка (или купить их в дарквебе) и совершить оплату уже где-нибудь за рубежом», − отметил Ярослав Бабин. Ссылка на источник


  • Сообщений: 103417

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Positive Technologies: 100% реальных атак по перехвату SMS-сообщений достигают цели20.51Понедельник, 05 марта 2018
    Positive Technologies: веб-приложения банков наиболее уязвимы19.32Понедельник, 19 марта 2018
    Исследование Positive Technologies: 73% промышленных компаний уязвимы к хакерским атакам18.91Четверг, 26 апреля 2018
    Банкоматы банка «Югра» полностью готовы к приему национальных платежных карт «Мир»18.61Среда, 22 февраля 2017
    Банкоматы и POS-терминалы "Тройка-Д Банка" начали прием платежных карт "Золотая Корона" и Union Pay18.23Четверг, 13 августа 2015
    Positive Technologies покажет новые технологии защиты платежных приложений18.11Пятница, 30 января 2015
    «Андэк» подтвердила соответствие среды обработки данных платежных карт «А 3» требованиям PCI DSS 3.115.64Понедельник, 28 сентября 2015
    "Андэк" привела среду обработки данных платежных карт "ИнПлат" в соответствие стандарту PCI DSS15.48Вторник, 14 июля 2015
    Positive Technologies обнаружила способ восстановления данных, зашифрованных NotPetya15.08Пятница, 07 июля 2017
    Positive Technologies: небезопасное хранение данных – основной недостаток мобильных приложений14.92Среда, 19 июня 2019

    Мы в соц. сетях