Украли деньги с пластиковой карточки

[serj_nv 2396]

Тоже самое но по-русски

Вообщем ничего нового.

Вероятно, как обычно, в банке бардак с безопастностью, что не новость.

 

Если удалось использовать анализатор трафика, то это как минимуи значит,

что как и ранее трафик между банкоматом и банкоматным сервером не шифруется.

Согласен

занимались тем, что ездили по городу и подключались к трафику беспроволочных сетей, похищая закрытую информацию у известных компаний

Да и Wi-Fi у известных компаний наверное открыта

По утверждению прокуратуры, они тайно устанавливали сетевые анализаторы

Ужас - надо было предупреждать и устанавливать в открытую . Статья как всегда - работа

на публику, а тех кто посадили обычные дропы.

[maxicus 0]

Да, методы хака те же, глупости в безопасности те же.

Я лишь хотел показать, что суммы натыриваний все увеличиваются, а технология противоборства нифига не меняется.

Типа - "пользуйтесь банковскими картами"

(вводя ее номер при очередном пополнении скайпа)

[Yevgen35 0]

Просто номер это фигня.

Деньги можно вернуть, а вот после скиминга уже вряд ли кто поможет.

[maxicus 0]

Ха-ха. Только заметил в той линке

трафику беспроволочных сетей

Это сильно! Это пять!

Переводчику зачот

 

Все, перехожу на проволочную сеть, чтоб не подключались ото.

[StYlus. 1]

В оригинале это терминология нью-ёркскского корреспондента русской службы Би-Би-Си :^)

[graycrow 0]

Подниму тему

 

тут вот всплыло такое:

Вспыхнул очередной грандиозный скандал, касающийся кредитных карт. Обнаружено, что некая международная группа преступников сумела внедрить хитрую шпионскую закладку во множество терминалов-считывателей PED (PIN entry devices) для новых Chip & PIN-карточек. На эти карты, считающиеся более защищенными и совмещающие в себе чип и магнитную полоску, в массовом порядке перешли многие страны Западной Европы, а соответствующие терминалы ныне работают в тысячах касс крупных и мелких магазинов. Выявленная сеть шпионских закладок позволяла преступникам не менее девяти месяцев красть деньги с банковских счетов. Общая сумма хищений исчисляется десятками миллионов долларов.

 

Технология этого изощренного преступления любопытна и сама по себе, но не менее интересно, что год назад серьезнейшая слабость в защите PED уже была обнаружена. Специалисты из лаборатории компьютерной безопасности Кембриджского университета, обнаружившие дыру, оповестили все заинтересованные инстанции о том, что в схемах терминалов есть участок, где конфиденциальные данные проходят в незашифрованном виде, а значит, подсоединившись к такому тракту, злоумышленник может похитить все реквизиты карты, PIN-код доступа и изготовить полноценный клон.

 

В ответ на свои предупреждения исследователи получили отписки, трактующие их работу как далекие от жизни "лабораторные эксперименты". Так что есть своеобразная ирония в картине, открывшейся вместе с выявлением закладок в PED и продемонстрировавшей то, как выглядят реальные угрозы для защиты данных в сегодняшнем мире.

 

Рассказ о технологии этой остроумной затеи, вероятно, следует начать с того, что организаторы преступления еще не пойманы, поэтому многих важных деталей недостает. Например, до сих пор неизвестно, где и как встраивались закладки в PED-терминалы - непосредственно в процессе сборки в Китае или же на складах перед отправкой получателю. В любом случае, закладка внедрялась профессионально, никаких внешних следов на корпусе или упаковке устройств не оставалось, поэтому у получателей терминалов не было ни малейших сомнений в "чистоте" своих аппаратов.

 

Собственно закладка аккуратно прикреплена к днищу системной платы PED и подключена к тому ее участку, где данные со считываемых карт проходят в открытом виде перед попаданием в криптомодуль терминала. В функции закладки, кроме копирования реквизитов карты и PIN-кода доступа, входит шифрование, хранение в собственном буфере памяти и отправка злоумышленникам всех собранных данных при помощи сотового модуля. Как установлено, серверы, на которые утекала информация и откуда поступали команды, управляющие всей сетью закладок, находятся в пакистанском городе Лахор.

 

Похищенные данные использовались для изготовления карточек-клонов с магнитной полосой, пригодных для покупок или снятия наличных в банкоматах тех стран, где еще не перешли на Chip & PIN. Делалось все чрезвычайно аккуратно. Частота соединений с "центром" зависела от количества считанных карт и оплаченных с них сумм. Поэтому сессии связи могли быть и раз в день, и реже раза в неделю. Кроме того, сервер мог регулировать работу каждой закладки после очередного опустошения буфера - например, давать команды вида: "копировать каждую десятую карту" или "только карты Visa Platinum". Наконец, краденые реквизиты не сразу пускались в дело, а "мариновались" по меньшей мере пару месяцев, чтобы максимально затруднить выявление мест похищения.

 

Понятно, что в таких условиях выявить сам факт существования закладки было чрезвычайно сложно. Хотя подробности этой истории по-прежнему хранятся в тайне, известно, что первыми неладное заподозрили специалисты MasterCard. Один из пострадавших клиентов компании божился, что использовал свою карточку только в одном-единственном месте, и более того - мог это убедительно доказать. Поскольку мошеннические изъятия по той же карте проходили из-за рубежа, следствию не оставалось ничего другого, как подробнее изучить PED-терминал в торговой точке. Стоит ли говорить, какой сюрприз их ждал...

 

Коль скоро внешним осмотром, без вскрытия терминалов, обнаружить модуль закладки невозможно, то самым простым способом выявления шпиона стало взвешивание считывателей карточек на весах. Отличие веса аппарата от стандартного на 80–100 г стало главным признаком для выявления скомпрометированных устройств. Поэтому все последние месяцы по Европе колесили группы инспекторов, занятых тщательным взвешиванием имеющихся в кассах магазинов PED-терминалов. На сегодняшний день по меньшей мере в пяти странах - Бельгии, Великобритании, Дании, Голландии и Ирландии - обнаружено больше сотни таких закладок, исправно отправлявших данные на серверы в Пакистан. Точка же в этой истории, разумеется, еще не поставлена.

 

src

[StYlus. 1]

Судя по всему, вот английский первоисточник пересказанного по-русски текста.

[vanoo 1]

Как обычно, товарищи переводчики переиграли в испорченный телефон. Попытались объяснить неискушенным гражданам, что есть "белый" пластик. При этом в оригинале ничего не говорится об изготовлении карт с магнитной полосой с использованием сворованных данных. Я как-то плохо себе представляю, как можно изготовить полосатый дубликат, если карта вставлялась в терминал только чипом.

 

Также в оригинале отсутствует пассаж про "считающиеся более защищенными и совмещающие в себе чип и магнитную полоску" карточки. Просто говорится, о модификациях "chip and pin machines".

 

У меня такое чувство, что, как обычно, тырили данные с магнитной полосы + пины. Просто подход и размах беспрецедентные.

[graycrow 0]

Я как-то плохо себе представляю, как можно изготовить полосатый дубликат, если карта вставлялась в терминал только чипом.

 

Для этого нужно всего-навсего знать, что пишется на полосу. Наверняка оно же есть и в чипе. Так что считали с чипа, записали на полосу - делов то.

[kaa 49]

graycrow, а какой тогда смысл в чипе?

 

Прежде чем утверждать что-либо, есть смысл хоть бы минимально изучить вопрос.

[StYlus. 1]

Просто говорится, о модификациях "chip and pin machines".

 

У меня такое чувство, что, как обычно, тырили данные с магнитной полосы + пины

Несовместимо :^)

Чип и дейл пин машына принципиально магнитную полосу не читает.

[graycrow 0]

graycrow, а какой тогда смысл в чипе?

 

Прежде чем утверждать что-либо, есть смысл хоть бы минимально изучить вопрос.

 

Чиповые карты, по крайней мере все те, что я видел, имеют и магнитную полосу - для совместимости со старыми устройствами. Магнитная полоса на картах хранит довольно мало информации - номер и еще что-то (давно уже интересовался, не помню). Эта иформация наверняка есть и в чипе, читаем ее оттуда, записываем на дубликат с полосой и используем в читалке с магнитным чтением only.

 

Смысл в чипе такой, чтобы использовать его с соответствующим оборудованием и там он теоретически дает большую степень защиты. Но так как не все торговые точки пока имеют кардридеры для чипа, то большинство банков разрешает ипользовать их и там где используется полоса.

 

Так что, прежде чем упрекать кого-то, kaa, есть смысл привести свои аргументы.

[maxicus 0]

Принципиальных неточностей в переводе не заметил, что это вы на переводчиков набросились.

А как оно, да! как китаезы то развернулись. Чинские дельцы - они и похлеще русов будут

Какие размах и широта души.

 

И graycrow прав, об этом еще черти когда предупреждали умные дяди.

Чтобы не писать долго, вот. Че-нить типа:

The ubiquity of Chip and PIN reader systems now presents a wider attack surface above and beyond ATMs. This provides many more opportunities to subvert the hardware. While such a hardware attack does not gain access to the Chip, it does provide access to the PIN, and usually the magnetic stripe. As the same PIN works for the magnetic stripe as well as the chip-based authentication, the stripe and PIN data can be used to create a cloned magnetic stripe card.

 

 

Мое большое убеждение, что:

Все эти чипы они пусть бабушке показывают - там уязвимостей 3 грузовика.

покаа не родят таки устройство, которое показывает сумму, куда и за что отдается денежка с кнопкой ок, ни с каким старьем не совместимое - фрод будет только расти.

И массы не отягощенных моралью китаез эту сытую индустрию к этой инвестиции таки принудят.

[kaa 49]

Так что, прежде чем упрекать кого-то, kaa, есть смысл привести свои аргументы.

 

OK, в таком разе рекомендую статью в википедии.

 

EMV financial transactions are more secure against fraud than traditional credit card payments which use the data encoded in a magnetic stripe on the back of the card. This is due to the use of encryption algorithms such as DES, Triple-DES, RSA and SHA to provide authentication of the card to the processing terminal and the transaction processing center. However, processing is generally slower than an equivalent magnetic stripe transaction. This is due to cryptography overhead and time involved in messages transmissions between the card and the terminal. The increased protection from fraud has allowed banks and credit card issuers to push through a 'liability shift' such that merchants are now liable (as from 1 January 2005 in the EU region) for any fraud that results from transactions on systems that are not EMV capable.

 

В общем случае, plain data с чипа считать не получится (были сообщения об уязвимости технологии, применяемой в EMV, но конкретных взломов я не припомню. разве что московский метрополитен с ультралайтом, но там, похоже, проектировщики системы слажали).

[maxicus 0]

Это взгляд в дверь. Смотреть же надо в окно:

"it does provide access to the PIN, and usually the magnetic stripe."

Аплодисменты, занавес.