Кардинг: как взламывают торговое оборудование

 АНТОН КАРЕВ, ведущий эксперт Алтайского края по кибербезопасности, с 20-летним стажем. Окончил физтех АлтГУ. Занимается технологической разведкой и подготовкой аналитических обзоров для красной команды правительственных хакеров, anton.barnaul.1984@mail.ru

Кардинг:
как взламывают торговое оборудование

Кардинг существует уже много лет и с течением времени становится все более изощренным. Даже при серьезном подходе к обеспечению кибербезопасности POS-систем – что уже само по себе большая редкость – торговое оборудование остается уязвимым для кардеров [11]

Материал рассчитан на подготовленного читателя: квалифицированных специалистов из «красной команды». Без надлежащих полномочий описанными здесь методиками пользоваться не стоит. Кардинг – это тяжкое преступление

Фиаско банковских смарт-карт EMV

Все больше преступников увлекаются кардингом и пополняют ряды высокотехнологичной подпольной мафии. Среди этих преступников не только технически подкованные эксперты, но и зеленые, с технической точки зрения, новички. Последним удается социализироваться в подпольной экосистеме кардинга благодаря маркетинговым программам FaaS (fraud-as-a-service; мошенничество как услуга) [15].

Смарт-карты EMV пришли на замену магнитным картам MSR, чтобы хоть как-то усложнить жизнь кардерам. EMV-карты хранят информацию на чипе, в зашифрованном виде, что по идее должно усложнить процедуру скимминга. Кроме того, считается, что смарт-карты тяжелее клонировать – поскольку незаметно подменить чип на лицевой стороне карты проблематично. Однако на практике оказалось, что смарт-карты подвержены тем же уязвимостям, что и их магнитные предшественницы, и даже в более широких масштабах [15].

Ключевые недостатки смарт-карт EMV:

• возможность отключения усовершенствованного протокола авторизации (с переходом на старый, более уязвимый) [24];
• отсутствие защиты от ретрансляционной атаки [35];
• отсутствие защиты от MITM-атак с обходом пин-код-авторизации для контактных (см. рис. 1) [31] и бесконтактных [20] платежей;
• предсказуемые генераторы «случайных» чисел [13];
• передача конфиденциальных данных открытым текстом [14].

Рисунок 1. MITM-атака на EMV-карты

В итоге мы можем видеть, что «более безопасные» POI-считыватели, работающие по EMV-протоколу, просто стали еще одним шагом игры «в кошки-мышки», где мышка всегда остается на шаг впереди. Кардеры пребывают в постоянном поиске легких денег, а потому ищут (и всегда находят) актуальные уязвимости в торговом оборудовании [15].

Смарт-карты EMV были разработаны как более защищенная альтернатива для магнитных карт MSR. Однако практика показала, что приход EMV только добавил проблем с безопасностью, и таким образом эта технология потерпела полное фиаско [13]. Так например, в [11, 13] описана методика взлома защищенной POS-системы с поддержкой передовых смарт-карт EMV – посредством широко распространенных уязвимостей POI-считывателя (неотъемлемого компонента любой POS-системы). Упомянутые уязвимости позволяют злоумышленнику совершать транзакции с украденной банковской картой, даже не зная ее пин-кода, в обход EMV-защиты.

В [13] представлено много увлекательных атак на смарт-карты EMV. Среди них: компрометация той части EMV-протокола, которая предназначена для предотвращения повторного проведения одной и той же транзакции. Защитный алгоритм проведения транзакций по EMV-протоколу использует в своих расчетах случайные числа, за генерацию которых отвечает POS-система. Однако генератор случайных чисел в POS-системе, как правило, заменяется обычным счетчиком. Поэтому злоумышленник может предсказывать все генерируемые POS-системой «случайные» числа и таким образом обходить систему «предотвращения повторного проведения одной и той же транзакции». Это дает злоумышленнику возможность произвести «ретрансляционную атаку», которая является высокотехнологичным аналогом для «старомодного» клонирования магнитных банковских карт.

Эти и другие атаки на защищенные POS-системы, поддерживающие смарт-карты EMV, демонстрируют, что вся их причудливая электронная защита от несанкционированного доступа полностью несостоятельна [13].

Статью целиком читайте в журнале «Системный администратор», №12 за 2017 г. на страницах 28-36.

PDF-версию данного номера можно приобрести в нашем магазине.

1. Slava Gomzin. Hacking Point of Sale: Payment Application Secrets, Threats, and Solutions. 2014.
2. Dan Rosenberg. Reflections on trusting TrustZone // Black Hat. 2014.
3. Jaehyuk Lee, Jinsoo Jang. Hacking in Darkness: Return-oriented Programming against Secure Enclaves // Proceedings of the 26th USENIX Security Symposium. 2017. pp. 523-539.
4. Jo Van Bulck. Telling Your Secrets Without Page Faults: Stealthy Page Table-Based Attacks on Enclaved Execution // Proceedings of the 26th USENIX Security Symposium. 2017. pp. 1041-1056.
5. Darren Pauli. World’s most complex cash register malware plunders millions in US // 2015. URL: https://www.theregister.co.uk/2015/11/24/modpos_point_of_sale_malware/ (дата обращения: 31 августа 2017).
6. VISA security alert. «Kuhook» point of sale malware // 2015. URL: http://busfin.colostate.edu/Forms/Merchant_Svcs/Alert_KuhookPOS.pdf (дата обращения: 31 августа 2017).
7. Alex Hern. Ransomware attack ‘not designed to make money’, researchers claim // 2017. URL: https://www.theguardian.com/technology/2017/jun/28/notpetya-ransomware-attack-ukraine-russia (дата обращения: 31 августа 2017).
8. Cybersecurity needs attention // 2017. URL: https://www.malwarebytes.com/pdf/white-papers/cybersecurity_needs_attention.pdf (дата обращения: 31 августа 2017).
9. Stacy Collett. Credit card fraud: What you need to know now // 2017. URL: https://www.csoonline.com/article/3220449/cyber-attacks-espionage/credit-card-fraud-what-you-need-to-know-now.html (дата обращения: 7 сентября 2017).
10. Wu Zhou, Yajin. Zhou. Detecting repackaged smartphone applications in third-party android marketplaces // Proceedings of 2nd ACM Conference on Data and Application Security and Privacy. 2012. pp. 317-326.
11. Nir Valtman, Patrick Watson. Breaking payment Points of Interaction (POI) // Black Hat. 2016.
12. Alexandrea Mellen, John Moore. Mobile Point of Scam: attacking the Square Reader // Black Hat. 2015.
13. Ross Anderson. How smartcard payment systems fail // Black Hat. 2014.
14. Lucas Zaichkowsky. Point of Sale system architecture and security // Black Hat. 2014.
15. Abhinav Singh. The underground ecosystem of credit card frauds // Black Hat. 2015.
16. Doomed Point of Sale Systems // DEFCON. 2017.
17. Xiaolong Bai. Picking Up My Tab: Understanding and Mitigating Synchronized Token Lifting and Spending in Mobile Payment // Proceedings of the 26th USENIX Security Symposium. 2017. pp. 593-608.
18. WesLee Frisby. Security Analysis of Smartphone Point-of-Sale Systems // Proceedings of the 6th USENIX Workshop on Offensive Technologies. 2012. pp. 22-33.
19. E. Haselsteiner, K. Breitfuss. Security in Near Field Communication (NFC) – Strengths and Weaknesses // Proceedings of the Workshop on RFID Security. 2006.
20. Haoqi Shan. Man in the NFC: Build a NFC proxy tool from sketch // DEFCON. 2017.
21. Weston Hecker. Hacking next-gen ATMs: from capture to cashout // Black Hat. 2016.
22. Peter Fillmore. Crash & pay: how to own and clone contactless payment devices // Black Hat. 2015.
23. K.H. Conway. On Numbers and Games. Academic Press, 1976.
24. Ross Anderson. Chip and spin // Computer Security Journal. 22(2), 2006. pp. 1-6.
25. G.P. Hancke. A Practical Relay Attack on ISO 14443 Proximity Cards // 2005. URL: http://www.rfidblog.org.uk/hancke-rfidrelay.pdf (дата обращения: 6 сентября 2017).
26. Jonathan Zdziarski. The Dark Art of iOS Application Hacking // Black Hat. 2012.
27. L. Francis, G.P. Hancke, K.E. Mayes. On the security issues of NFC enabled mobile phones // International Journal of Internet Technology and Secured Transactions. 2(3/4), 2010. pp. 336-356.
28. Nils, Jon Butler. Mission mPOSsible // Black Hat. 2014.
29. Nils, Rafael Dominguez Vega. PinPadPwn // BlackHat. 2012.
30. L. Francis, G.P. Hancke, K.E. Mayes. Practical NFC Peer-to-Peer Relay Attack Using Mobile Phones // Radio Frequency Identification: Security and Privacy Issues. vol. 6370, 2010. pp. 35-49.
31. S.J. Murdoch. Chip and PIN is Broken // Proceedings of the IEEE Symposium on Security and Privacy. 2010. pp. 433-446.
32. Chip and Skim: cloning EMV cards with the pre-play attack // Computing Research Repository (CoRR), arXiv:1209.2531 [cs.CY], Sept. 2012.
33. Michael Roland, Josef Langer. Cloning Credit Cards: A Combined Pre-play and Downgrade Attack on EMV Contactless // Proceedings of the 7th USENIX Workshop on Offensive Technologies. 2013.
34. Charlie Miller. Don’t stand so close to me: an analysis of the NFC attack surface // Black Hat. 2012.
35. Saar Drimer, Steven J. Murdoch. Keep Your Enemies Close: Distance Bounding Against Smartcard Relay Attacks // Proceedings of the 16th USENIX Security Symposium. 2007. pp. 87-102.
36. Timur Yunusov. The Future of ApplePwn – How to Save Your Money // Black Hat. 2017.
37. Карев А.А. Кэш-атаки по сторонним каналам. // «Хакер», № 222, 2017.
38. Карев А.А. Чумазые секретики киберзащитничков. // «Системный администратор», № 7-8, 2017. – С. 50-55. URL: http://samag.ru/archive/article/3471.

Ключевые слова: кардинг, безопасность, торговое оборудование, POS-системы, смарт-карты.

Комментарии могут оставлять только зарегистрированные пользователи