Кардинг: как взламывают торговое оборудование::Журнал СА 12.2017
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Магазин
Архив номеров
Вакансии
Контакты
   

  Опросы
1001 и 1 книга  
12.02.2021г.
Просмотров: 8562
Комментарии: 2
Коротко о корпусе. Как выбрать системный блок под конкретные задачи

 Читать далее...

11.02.2021г.
Просмотров: 8904
Комментарии: 4
Василий Севостьянов: «Как безболезненно перейти с одного продукта на другой»

 Читать далее...

20.12.2019г.
Просмотров: 16080
Комментарии: 0
Dr.Web: всё под контролем

 Читать далее...

04.12.2019г.
Просмотров: 15165
Комментарии: 13
Особенности сертификаций по этичному хакингу

 Читать далее...

28.05.2019г.
Просмотров: 16285
Комментарии: 6
Анализ вредоносных программ

 Читать далее...

Друзья сайта  

Форум системных администраторов  

sysadmins.ru

 Кардинг: как взламывают торговое оборудование

Архив номеров / 2017 / Выпуск №12 (181) / Кардинг: как взламывают торговое оборудование

Рубрика: Безопасность /  Исследование

Антон Карев АНТОН КАРЕВ, ведущий эксперт Алтайского края по кибербезопасности, с 20-летним стажем. Окончил физтех АлтГУ. Занимается технологической разведкой и подготовкой аналитических обзоров для красной команды правительственных хакеров, anton.barnaul.1984@mail.ru

Кардинг:
как взламывают торговое оборудование

Кардинг: как взламывают торговое оборудованиеКардинг существует уже много лет и с течением времени становится все более изощренным. Даже при серьезном подходе к обеспечению кибербезопасности POS-систем – что уже само по себе большая редкость – торговое оборудование остается уязвимым для кардеров [11]

Материал рассчитан на подготовленного читателя: квалифицированных специалистов из «красной команды». Без надлежащих полномочий описанными здесь методиками пользоваться не стоит. Кардинг – это тяжкое преступление

Фиаско банковских смарт-карт EMV

Все больше преступников увлекаются кардингом и пополняют ряды высокотехнологичной подпольной мафии. Среди этих преступников не только технически подкованные эксперты, но и зеленые, с технической точки зрения, новички. Последним удается социализироваться в подпольной экосистеме кардинга благодаря маркетинговым программам FaaS (fraud-as-a-service; мошенничество как услуга) [15].

Смарт-карты EMV пришли на замену магнитным картам MSR, чтобы хоть как-то усложнить жизнь кардерам. EMV-карты хранят информацию на чипе, в зашифрованном виде, что по идее должно усложнить процедуру скимминга. Кроме того, считается, что смарт-карты тяжелее клонировать – поскольку незаметно подменить чип на лицевой стороне карты проблематично. Однако на практике оказалось, что смарт-карты подвержены тем же уязвимостям, что и их магнитные предшественницы, и даже в более широких масштабах [15].

Ключевые недостатки смарт-карт EMV:

  • возможность отключения усовершенствованного протокола авторизации (с переходом на старый, более уязвимый) [24];
  • отсутствие защиты от ретрансляционной атаки [35];
  • отсутствие защиты от MITM-атак с обходом пин-код-авторизации для контактных (см. рис. 1) [31] и бесконтактных [20] платежей;
  • предсказуемые генераторы «случайных» чисел [13];
  • передача конфиденциальных данных открытым текстом [14].

Рисунок 1. MITM-атака на EMV-карты

Рисунок 1. MITM-атака на EMV-карты

В итоге мы можем видеть, что «более безопасные» POI-считыватели, работающие по EMV-протоколу, просто стали еще одним шагом игры «в кошки-мышки», где мышка всегда остается на шаг впереди. Кардеры пребывают в постоянном поиске легких денег, а потому ищут (и всегда находят) актуальные уязвимости в торговом оборудовании [15].

Смарт-карты EMV были разработаны как более защищенная альтернатива для магнитных карт MSR. Однако практика показала, что приход EMV только добавил проблем с безопасностью, и таким образом эта технология потерпела полное фиаско [13]. Так например, в [11, 13] описана методика взлома защищенной POS-системы с поддержкой передовых смарт-карт EMV – посредством широко распространенных уязвимостей POI-считывателя (неотъемлемого компонента любой POS-системы). Упомянутые уязвимости позволяют злоумышленнику совершать транзакции с украденной банковской картой, даже не зная ее пин-кода, в обход EMV-защиты.

В [13] представлено много увлекательных атак на смарт-карты EMV. Среди них: компрометация той части EMV-протокола, которая предназначена для предотвращения повторного проведения одной и той же транзакции. Защитный алгоритм проведения транзакций по EMV-протоколу использует в своих расчетах случайные числа, за генерацию которых отвечает POS-система. Однако генератор случайных чисел в POS-системе, как правило, заменяется обычным счетчиком. Поэтому злоумышленник может предсказывать все генерируемые POS-системой «случайные» числа и таким образом обходить систему «предотвращения повторного проведения одной и той же транзакции». Это дает злоумышленнику возможность произвести «ретрансляционную атаку», которая является высокотехнологичным аналогом для «старомодного» клонирования магнитных банковских карт.

Эти и другие атаки на защищенные POS-системы, поддерживающие смарт-карты EMV, демонстрируют, что вся их причудливая электронная защита от несанкционированного доступа полностью несостоятельна [13].

Статью целиком читайте в журнале «Системный администратор», №12 за 2017 г. на страницах 28-36.

PDF-версию данного номера можно приобрести в нашем магазине.


  1. Slava Gomzin. Hacking Point of Sale: Payment Application Secrets, Threats, and Solutions. 2014.
  2. Dan Rosenberg. Reflections on trusting TrustZone // Black Hat. 2014.
  3. Jaehyuk Lee, Jinsoo Jang. Hacking in Darkness: Return-oriented Programming against Secure Enclaves // Proceedings of the 26th USENIX Security Symposium. 2017. pp. 523-539.
  4. Jo Van Bulck. Telling Your Secrets Without Page Faults: Stealthy Page Table-Based Attacks on Enclaved Execution // Proceedings of the 26th USENIX Security Symposium. 2017. pp. 1041-1056.
  5. Darren Pauli. World’s most complex cash register malware plunders millions in US // 2015. URL: https://www.theregister.co.uk/2015/11/24/modpos_point_of_sale_malware/ (дата обращения: 31 августа 2017).
  6. VISA security alert. «Kuhook» point of sale malware // 2015. URL: http://busfin.colostate.edu/Forms/Merchant_Svcs/Alert_KuhookPOS.pdf (дата обращения: 31 августа 2017).
  7. Alex Hern. Ransomware attack ‘not designed to make money’, researchers claim // 2017. URL: https://www.theguardian.com/technology/2017/jun/28/notpetya-ransomware-attack-ukraine-russia (дата обращения: 31 августа 2017).
  8. Cybersecurity needs attention // 2017. URL: https://www.malwarebytes.com/pdf/white-papers/cybersecurity_needs_attention.pdf (дата обращения: 31 августа 2017).
  9. Stacy Collett. Credit card fraud: What you need to know now // 2017. URL: https://www.csoonline.com/article/3220449/cyber-attacks-espionage/credit-card-fraud-what-you-need-to-know-now.html (дата обращения: 7 сентября 2017).
  10. Wu Zhou, Yajin. Zhou. Detecting repackaged smartphone applications in third-party android marketplaces // Proceedings of 2nd ACM Conference on Data and Application Security and Privacy. 2012. pp. 317-326.
  11. Nir Valtman, Patrick Watson. Breaking payment Points of Interaction (POI) // Black Hat. 2016.
  12. Alexandrea Mellen, John Moore. Mobile Point of Scam: attacking the Square Reader // Black Hat. 2015.
  13. Ross Anderson. How smartcard payment systems fail // Black Hat. 2014.
  14. Lucas Zaichkowsky. Point of Sale system architecture and security // Black Hat. 2014.
  15. Abhinav Singh. The underground ecosystem of credit card frauds // Black Hat. 2015.
  16. Doomed Point of Sale Systems // DEFCON. 2017.
  17. Xiaolong Bai. Picking Up My Tab: Understanding and Mitigating Synchronized Token Lifting and Spending in Mobile Payment // Proceedings of the 26th USENIX Security Symposium. 2017. pp. 593-608.
  18. WesLee Frisby. Security Analysis of Smartphone Point-of-Sale Systems // Proceedings of the 6th USENIX Workshop on Offensive Technologies. 2012. pp. 22-33.
  19. E. Haselsteiner, K. Breitfuss. Security in Near Field Communication (NFC) – Strengths and Weaknesses // Proceedings of the Workshop on RFID Security. 2006.
  20. Haoqi Shan. Man in the NFC: Build a NFC proxy tool from sketch // DEFCON. 2017.
  21. Weston Hecker. Hacking next-gen ATMs: from capture to cashout // Black Hat. 2016.
  22. Peter Fillmore. Crash & pay: how to own and clone contactless payment devices // Black Hat. 2015.
  23. K.H. Conway. On Numbers and Games. Academic Press, 1976.
  24. Ross Anderson. Chip and spin // Computer Security Journal. 22(2), 2006. pp. 1-6.
  25. G.P. Hancke. A Practical Relay Attack on ISO 14443 Proximity Cards // 2005. URL: http://www.rfidblog.org.uk/hancke-rfidrelay.pdf (дата обращения: 6 сентября 2017).
  26. Jonathan Zdziarski. The Dark Art of iOS Application Hacking // Black Hat. 2012.
  27. L. Francis, G.P. Hancke, K.E. Mayes. On the security issues of NFC enabled mobile phones // International Journal of Internet Technology and Secured Transactions. 2(3/4), 2010. pp. 336-356.
  28. Nils, Jon Butler. Mission mPOSsible // Black Hat. 2014.
  29. Nils, Rafael Dominguez Vega. PinPadPwn // BlackHat. 2012.
  30. L. Francis, G.P. Hancke, K.E. Mayes. Practical NFC Peer-to-Peer Relay Attack Using Mobile Phones // Radio Frequency Identification: Security and Privacy Issues. vol. 6370, 2010. pp. 35-49.
  31. S.J. Murdoch. Chip and PIN is Broken // Proceedings of the IEEE Symposium on Security and Privacy. 2010. pp. 433-446.
  32. Chip and Skim: cloning EMV cards with the pre-play attack // Computing Research Repository (CoRR), arXiv:1209.2531 [cs.CY], Sept. 2012.
  33. Michael Roland, Josef Langer. Cloning Credit Cards: A Combined Pre-play and Downgrade Attack on EMV Contactless // Proceedings of the 7th USENIX Workshop on Offensive Technologies. 2013.
  34. Charlie Miller. Don’t stand so close to me: an analysis of the NFC attack surface // Black Hat. 2012.
  35. Saar Drimer, Steven J. Murdoch. Keep Your Enemies Close: Distance Bounding Against Smartcard Relay Attacks // Proceedings of the 16th USENIX Security Symposium. 2007. pp. 87-102.
  36. Timur Yunusov. The Future of ApplePwn – How to Save Your Money // Black Hat. 2017.
  37. Карев А.А. Кэш-атаки по сторонним каналам. // «Хакер», № 222, 2017.
  38. Карев А.А. Чумазые секретики киберзащитничков. // «Системный администратор», № 7-8, 2017. – С. 50-55. URL: http://samag.ru/archive/article/3471.

Ключевые слова: кардинг, безопасность, торговое оборудование, POS-системы, смарт-карты.


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru