Микропроцессорные карты стандарта EMV не столь безопасны, как мы думали. Глава “CERP Polska” проходит в залы ожидания аэропортов для бизнес-класса по поддельным QR-кодам

Группа программистов доказала, что банковские карты с чипом не намного безопаснее карт с магнитными полосами. Хакер пробирается в залы ожидания аэропортов для бизнес-класса, генерируя поддельные QR-коды на своем телефоне.

Злоумышленники могут снять до $ 50 000 при помощи одной поддельной микропроцессорной карты стандарта EMV

Микропроцессорные карты с авторизацией по ПИН-коду (Europay, MasterCard, Visa (EMV)) не столь безопасны, как мы думали. Розничные продавцы по всему миру уже перешли на новую технологию, и теперь программисты выявляют уязвимые места в картах данного типа. Похоже, они не на много безопаснее своих предшественников – карт с магнитными полосами.

Небольшая команда инженеров по безопасности Rapid7 продемонстрировала свою разработку Black Hat на крупнейшей в мире конференции хакеров в Лас-Вегасе. При помощи опытного образца для банкоматов команда продемонстрировала, насколько в действительности уязвимы EMV-карты: им потребовалось менее 15 минут, чтобы снять деньги со счёта.

Опытный образец включает в себя считывающее устройство, которое перехватывает сигнал между банкоматом (или терминалом для осуществления платежей в месте совершения покупки) и картой, как только она вставлена. Разработанное устройство позволяет не только извлечь данные с карты и получить PIN-код, который ввёл пользователь, но также повторить чип и магнитную полосу карты. После этого злоумышленникам остаётся только создать реплику карты жертвы и обналичить деньги в том же банкомате.

Если вы думаете, что для этого злоумышленникам потребуются какие-то сложные или труднодоступные инструменты, возможно, вам стоит подумать ещё раз. Команде Rapid7 для всего этого потребовалось около $2000, при этом использовались совершенно обычные элементы вроде Raspberry Pi.

Всё же микропроцессорные карты имеют определённую защиту. Для каждой новой транзакции чип создает уникальный код, поэтому хакеры могут использовать поддельную карту только один раз, так что это несколько безопаснее, чем использование карт с магнитными полосами. Правда, это сомнительный повод для радости: члены команды Rapid7 говорят, что они могли бы получить до $ 50 000 с банковского счёта жертвы за один раз.

Хакер пробирается в залы ожидания аэропортов для бизнес-класса, генерируя поддельные QR-коды на своем телефоне

Если вам когда-либо приходилось ждать несколько часов задержанный рейс в аэропорту, вы в полной мере осознаёте разницу между общей зоной с сотнями других ожидающих вылета пассажиров и зоной бизнес-класса, где можно не только выпить какой-нибудь хороший напиток, но также поспать и принять душ. Даже если вы никогда не были в зале ожидания для бизнес-класса, разница предельно очевидна – вы совершенно определённо захотите оказаться там.

Однажды глава польской группы быстрого реагирования на нарушения компьютерной безопасности (CERP Polska) и часто летающий пассажир Пшемэк Ярошевский (Przemek Jaroszewski) не смог попасть в зал для бизнес-класса в международном аэропорте Варшавы имени Федерико Шопена из-за какой-то ошибки. Как и любой предприимчивый хакер, он начал работать над решением проблемы. В результате он создал мобильный генератор QR-кода, который производит действующий код на основе фальшивых регистрационных данных.

С тех пор господин Ярошевский многократно тестировал созданный алгоритм в аэропортах по всей Европе, и каждый раз успешно. В большинстве аэропортов для входа в залы бизнес-класса не осуществляется перекрёстный контроль информации, предоставляемой при помощи поддельного QR-кода, вместо этого система просто подтверждает, что номер рейса действителен.

Если господин Ярошевский решит поместить этот алгоритм в открытый доступ, то хакеры с билетами эконом-класса смогут получать все привилегии нахождения в зоне отдыха бизнес-класса. К сожалению, пока что он не выказывал ни малейшего намерения делать это.

Материалы перевела и подготовила для публикации Анастасия Рудая, специалист отдела интернет-маркетинга “Big Deal Group”