Мошенничество с картами с чипом по-бразильски

Исследователи “Лаборатории Касперского” рассказали о том, как в Бразилии воруют информацию о картах с чипом и клонируют их.

Клонирование карт с чипом по-бразильски

Есть два типа банковских карт – более старые, с магнитной полосой, и более новые и безопасные, с чипом. Новые технологии в банковской сфере внедряются не так уж быстро, а в некоторых странах – так и вовсе медленно, так что карты с чипом распространялись медленно. Например, в США до недавнего времени продолжали по-старинке пользоваться картами с магнитной полосой — и перешли на чиповые карты лишь пару лет назад.

Проблема карт с магнитной полосой состоит в том, что вся информация, необходимая для оплаты, хранится на них в открытом виде — поэтому ее очень легко украсть и записать на другую карту. В чипе все более надежно – там используется криптография.

С переходом на карты с чипом многим казалось, что такой криминальный бизнес, как клонирование кредиток, наконец-то скоро канет в Лету. Но не тут-то было: на конференции Security Analyst Summit 2018 наши исследователи выступили с докладом о бразильской группировке, которая научилась воровать данные о картах с чипом и вполне успешно их клонировать. В этом посте мы постараемся максимально кратко и просто изложить суть их исследования.

Взлом банкоматов и не только

Началась эта история с того, что, наши эксперты изучали зловредов, которые бразильская группировка Prilex использовала для взлома банкоматов. В процессе изучения они обнаружили модифицированную версию такого зловреда, предназначенную для работы на платежных терминалах — тех самых коробочках, в которые вы вставляете карту и на которых набираете ПИН-код при покупке в магазине.

Эта версия зловреда меняла библиотеки программного обеспечения терминалов так, что злоумышленники могли перехватывать данные, которые терминал получал от карты и отправлял в банк. То есть, условно, стоило вам единожды расплатиться картой в магазине с зараженным терминалом — и все, данные вашей карты уже есть у преступников.

Однако получить данные — это полдела. Для того чтобы украсть ваши деньги, требуется изготовить копию вашей карты, прописав в нее украденные данные. В случае с чиповыми картами это не так-то просто сделать — за что спасибо собственно чипу и многочисленным процедурам аутентификации, которые предусмотрены стандартом EMV.

Однако группировке Prilex удалось это реализовать: злоумышленники построили целую инфраструктуру, позволявшую их «клиентам» с легкостью создавать клонированные карты, хотя в теории это вроде как должно быть невозможно.

Для того чтобы понять, как у них это получилось, предлагаем сперва очень кратко познакомиться со стандартом EMV, то есть с тем, как устроены карты с чипом.

Как работают банковские карты с чипом

Чип на карте — это не просто микросхема флеш-памяти. На самом деле это небольшой компьютер, позволяющий запускать приложения. Когда вы вставляете карту с чипом в терминал, происходит вот что:

Первым делом начинается инициализация. На этом этапе терминал получает основные сведения о карте, такие как имя владельца, срок действия и так далее, а также список приложений, которые есть на карте.

Дальше идет опциональный этап аутентификации данных. На этом этапе при помощи криптографических алгоритмов терминал удостоверяется, что карта настоящая. Однако согласно стандарту этот этап не является обязательным — то есть его можно пропустить.

Следующий этап тоже не обязательный — это верификация владельца. То есть терминал должен убедиться, что человек, вставивший карту — это ее настоящий владелец. Для этого человек должен либо ввести PIN-код, либо расписаться на чеке — в зависимости от того, как карта запрограммирована.

Наконец, следующий этап — это собственно транзакция, то есть перевод денег.

Еще раз обращаем ваше внимание: обязательными являются только первый и четвертый этапы, а второй и третий — опциональные. Этим-то и воспользовались бразильские мошенники.

Карточка на все согласна

Итак, условия задачи: карточка умеет запускать приложения и при общении с терминалом первым делом сообщает ему информацию о себе и список доступных приложений. Количество этапов при осуществлении платежа определяется терминалом и картой.

Решение: бразильцы написали для карты Java-приложение, которое делает, по сути, две вещи. Во-первых, оно сообщает платежному терминалу, что проводить аутентификацию данных, то есть второй этап, не нужно. То есть никакой криптографии дальше не используется, что существенно упрощает задачу.

Остается этап верификации владельца при помощи PIN-кода. Но стандартом предусмотрены разные варианты подтверждения пина, и в том числе такой, когда правильность его ввода подтверждает… собственно, сама карта. А точнее, установленное на ней приложение.

Преступники написали такое приложение, которое на вопрос о том, правильно ли введен PIN, всегда отвечает терминалу «да-да, все отлично». То есть злоумышленник с клонированной картой может ввести на терминале четыре абсолютно случайные цифры — и эти цифры будут приняты как правильный PIN.

Мошенничество с картами как услуга

Инфраструктура, созданная группировкой Prilex, включает в себя описанное выше Java-приложение, клиентскую программу под названием «Daphne», при помощи которой можно перезаписывать смарт-карты, и собственно базу ворованных данных карт, лежащую у них на сервере.

«Клиентам» предлагается купить этакий «комплект начинающего злоумышленника» из Java-приложения, программы «Daphne» и какого-то количества данных о картах. Приобрести устройство для записи карт и чистые смарт-карты можно абсолютно легально за считаные десятки долларов. Не важно, кредитная карта или дебетовая — «Daphne» позволяет клонировать любые.

Заключение

Prilex действует только на территории Бразилии и соседних с ней стран, но подумать о безопасности своих финансов лучше не только бразильцам. Вот несколько советов, последовав которым, вы снизите риск пострадать от рук мошенников:

  • Следите за движением средств по счету — либо через уведомления в мобильном приложении, либо с помощью SMS. Как только видите какие-то подозрительные траты — тут же звоните в банк и срочно блокируйте карту.
  • По мере возможности пользуйтесь AndroidPay или ApplePay. Обе эти системы не передают данные вашей карты терминалу, поэтому их можно считать более безопасными, чем обычные платежи по карте, когда вы вставляете ее в терминал.
  • Заведите отдельную карту для покупок в Интернете. Шанс того, что ее данные куда-нибудь утекут, заметно больше, чем в случае тех карт, которыми вы расплачиваетесь только в офлайн-магазинах. Так что на этой карте не стоит хранить больше суммы.
Советы