Модернизированная голландская платежная карта по-прежнему уязвима для атаки на ретрансляцию

Новые функции безопасности, внедряемые в голландские платежные карты, не остановят своего рода атаку, которую мошенники могут использовать в будущем, чтобы украсть деньги с банковских счетов, сообщают исследователи из Кембриджского университета в Великобритании

Стивен Дж. Мердок и Саар Дример из компьютерной группы Кембриджа продемонстрировали на голландском телешоу «Goudzoekers» в среду, что платежная карта с новыми функциями безопасности по-прежнему уязвима для так называемой ретрансляционной атаки.

Релейная атака - это способ, которым мошенники используют беспроводную технологию для получения данных банковской карты и PIN-кода (персональный идентификационный номер) для платежных карточек с чипом и PIN-кодом, используемых во всей Европе. Чип-и-PIN-карты требовали, чтобы человек вводил четырехзначный PIN-код в пунктах продажи или банкоматах, причем PIN-код был аутентифицирован микрочипом, встроенным в карточку.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

В ретрансляционной атаке данные карты жертвы записываются через несанкционированный платежный терминал. ПИН-код наблюдается мошенником, а затем сообщается соучастнику, выполняющему одновременную транзакцию в другом месте. У сообщника есть фальшивая платежная карта с поддержкой беспроводной связи, в которой используются банковские реквизиты жертвы, полученные от взломанного платежного терминала, для совершения мошеннической транзакции.

Ретрансляционная атака была продемонстрирована Дримером и Мердоком в 2007 году, но не считается активно используются преступниками, поскольку теперь есть более простые способы скомпрометировать платежные карты, сказал Мердок.

Банки как в Великобритании, так и в Нидерландах планируют обновить платежные карты новыми функциями безопасности, чтобы предотвратить различные виды атак. Murdoch и Drimer проверили карту, выпущенную одним голландским банком с тремя новыми функциями.

Один из них - это динамическая аутентификация данных, которая позволяет проверить подлинность карты как подлинную, не подключаясь к системам банка. Это предотвращает так называемую атаку «да», когда любой PIN-код будет принят для транзакции. Другая функция гарантирует, что PIN-код клиента зашифрован во время связи между платежным терминалом и картой, предотвращая перехват текстового ПИН-кода.

Последняя новая функция называется iCVV. Чип-и-PIN-карты ранее содержали копию информации о магнитной полосе, которая содержит сведения о счете в микрочипе карты. Мердок сказал, что с iCVV полная информация о магнитной полосе больше не хранится внутри микросхемы.

Ни одна из трех функций не остановила ретрансляционную атаку, как показано на выставке, сказал Мердок. Тем не менее, ни один из них не был специально разработан, чтобы остановить ретрансляционную атаку, сказал он. По словам Мердока, продюсеры «Гудзоекерса» хотели посмотреть, все ли новые карты по-прежнему уязвимы для ретрансляционной атаки. Шоу только заплатило за его и Дримерские полеты в Нидерланды, чтобы сделать эксперимент, сказал Мердок.

Мердок, который провел обширные исследования в области безопасности чип-и-PIN-карт, сказал, что он и Дример не думали, что новые функции будут препятствовать ретрансляционной атаке. Тем не менее, они приняли комиссию шоу, чтобы получить «больше опыта в системах других стран», сказал он.

Голландская банковская ассоциация отклонила последний эксперимент, заявив в заявлении, что ретрансляционная атака почти три года и слишком громоздким и сложным, чтобы быть реализованы в широких масштабах.

Мердок признает, что ретрансляционные атаки трудно снять. Однако, поскольку другие, более простые способы атаки закрыты из-за более сильных функций безопасности в карточках, вполне вероятно, что преступники «могут начать изучать это», сказал он.

Банковская ассоциация утверждает, что «преступники слишком глупы и ленивы», - сказал Мердок. «Преступники ленивы, но они не глупы.»