Информационная безопасность ? Хакеры научились расшифровывать PIN-коды (5) 3333 0
Специалисты продолжают удивляться, как хакеры умудряются начать практическое использование методов, которые ещё год назад признавались только теоретически возможными, да и то в узкой академической среде. Теперь они научились снимать PIN-коды с наших карточек, не проникая непосредственно в банкомат, которым мы пользуемся. Для этого достаточно найти слабый узел в сети, по которой идут пакеты от банкомата к банку.
Подозрения, что злоумышленникам стала доступна техника расшифровки PIN-кодов, которые передаются в зашифрованном виде, были и раньше, но после публикации отчёта 2009 Data Breach Investigations от компании Verizon они теперь впервые официально подтверждены.
Подозрения, что злоумышленникам стала доступна техника расшифровки PIN-кодов, которые передаются в зашифрованном виде, были и раньше, но после публикации отчёта 2009 Data Breach Investigations от компании Verizon они теперь впервые официально подтверждены.
Оказалось, что зашифрованные пакеты, пока не попадут в банк назначения, на своём пути проходят через множество аппаратно-шифровальных модулей (HSM, на фото — HSM с PCI-интерфейсом) от других банков. Из-за того, что эти HSM имеют разные настройки и режим работы, пакеты с PIN-кодами приходится на каждом узле расшифровывать и заново зашифровывать с новым открытым ключом, который действует в паре с закрытым ключом этого конкретного HSM, доступным через API. Так вот, теперь хакеры научились узнавать закрытый ключ HSM, если этот узел неправильно сконфигурирован. Как только хакерам удаётся расшифровать один PIN-код, они легко могут расшифровать весь массив PIN-кодов, которые проходят через этот HSM.
О практическом применении этой методики специалисты узнали только постфактум, когда несколько месяцев назад начали расследовать прокатившуюся по всему миру в 2008-2009 годах волну фродовых снятий денег (до этого они заметили интерес к теме на русских хакерских форумах, но не могли понять, с чем это связано).
На диаграмме показана статистика по количеству скомпрометированных банковских счетов, в том числе карт-счетов (источник — Verizon). Как видим, это количество уже вдвое превышает число жителей, например, России. На самом деле скомпрометировано гораздо больше карточек, так что они уже сейчас составляют заметный процент в общем количестве всех банковских карточек, имеющихся в обращении.
А ведь зная пин-код, можно снять деньги не только с карточки, но напрямую с банковского счёта пользователя, причём доказать мошенничество и вернуть деньги потом будет предельно сложно.
По мнению экспертов Verizon, проблему можно решить только кардинальной сменой инфраструктуры мировых платёжных систем. Фактически, новую систему нужно создавать с нуля.
habrahabr.ru
О практическом применении этой методики специалисты узнали только постфактум, когда несколько месяцев назад начали расследовать прокатившуюся по всему миру в 2008-2009 годах волну фродовых снятий денег (до этого они заметили интерес к теме на русских хакерских форумах, но не могли понять, с чем это связано).
На диаграмме показана статистика по количеству скомпрометированных банковских счетов, в том числе карт-счетов (источник — Verizon). Как видим, это количество уже вдвое превышает число жителей, например, России. На самом деле скомпрометировано гораздо больше карточек, так что они уже сейчас составляют заметный процент в общем количестве всех банковских карточек, имеющихся в обращении.
А ведь зная пин-код, можно снять деньги не только с карточки, но напрямую с банковского счёта пользователя, причём доказать мошенничество и вернуть деньги потом будет предельно сложно.
По мнению экспертов Verizon, проблему можно решить только кардинальной сменой инфраструктуры мировых платёжных систем. Фактически, новую систему нужно создавать с нуля.
habrahabr.ru
Прямая ссылка Добавил: Vitaly 26.04.2009 04:33
Рыбак зацепился мокрой леской за высоковольтные провода | Карьера. Все работы хороши, но медом нигде не намазано
Комментарии
-
-
-
Buntar_Bez_Ideala 26 апреля 2009 г. 10:05:47 Ссылка
Даа… дела… А нам тут моют…
Мифы о банковской карточке1 Миф: Банковская карточка ненадежна. :-D
Истина: Оплата карточкой безопаснее, чем ношение денег с собой если Вы потеряете бумажник или его украдут, то деньги на карточке защищены PIN-кодом или установленным Вами карточным лимитом. При пропаже наличных денег возможность их возврата достаточно малая. -
-
прикольно