» »

Napad na bančne kartice in morebitna revizija v preiskavi

Napad na bančne kartice in morebitna revizija v preiskavi

ZDNet - Pretekli teden smo poročali, da so raziskovalci s Cambridgea odkrili napako v sistemu avtentikacije plačil z bančnimi karticami, saj je mogoče z napadom MITM ukaniti terminal in zaobiti potrebo po vnosu pravilnega PIN-a. Kot poroča ZDNet UK, EMVCo, ki postavlja standarde za kartično poslovanje in je v solasti American Express, JCB, MasterCard in Vise, je napovedal, da bodo članek in napada preučili in ocenili potrebne spremembe. Prav tako bodo incident preiskali v podjetjih, ki skrbijo za plačilne sisteme. Tako je MasterCard že potrdil, da standard EMV redno preverjajo in da bodo v sodelovanju z drugimi podjetji poskrbeli, da bo poslovanje varno. Profesor Ross Anderson iz Cambridgea medtem pravi, da enostavne rešitve tega protokola ni.

V UK Payments Administration pa trdijo, da je napad izsledljiv, tako tudi problemov z dokazovanjem imetnikov kartic, da transakcij niso izvedli sami, ne bi smelo biti. Kot pravijo, bi napad lahko prepoznali, če bi po transakciji preverili tri elemente v zahtevku za avtorizacijo in poročilu o poravnavi. Pri prevari namreč pretentajo terminal, ki izpiše, da je bil vnesen pravilen PIN, a je transakcija zabeležena kot verificirana s podpisom (offline verification). Tako bi lahko imetniki kartic pokazali, da je šlo za zlorabo. Problem je, da je zlorabo moč dokazati šele po izvedbi in ne med samim dejanjem in da to preverjanje ni avtomatično, tako da mora transakcije izpodbijati lastnik računa.

13 komentarjev

Golden eye ::

Naj že nardijo vse z biometičnimi metodami pa ne bomo mel takih problemov. Pa še en kup kartic ne bo treba s sabo vlačt

techfreak :) ::

Misliš da pri biometričnimi metodami ne bo ranljivosti?

Golden eye ::

Kdor išče luknjo ta jo bo tudi našel, v takem sistemu živimo

techfreak :) ::

Golden eye je izjavil:

Naj že nardijo vse z biometičnimi metodami pa ne bomo mel takih problemov. Pa še en kup kartic ne bo treba s sabo vlačt


Golden eye je izjavil:

Kdor išče luknjo ta jo bo tudi našel, v takem sistemu živimo


Odloči se kaj zdaj? Ali bomo pri uporabi biometričnih metod bili bolj varni ali ne?

carota ::

Po moje bi bilo najbolje, da bi poslovali v naravi?

Relanium ::

Ma ta svet ratuje preveč kompliciran, pa če si še tako na tekočem z vsem skup.

fiction ::

Signature verification fallback je feature. Problem je samo v tem, da na eni strani izgleda kot da je bil uporabljen PIN na drugi pa da ni bil (podpisa pa jasno zato, ker v stacuni izgleda kot da je bil vpisan pravi PIN tudi nihce ne gleda).

Fora pri vsem tem je, da ce je transakcija avtorizirana s podpisom, odgovarja prodajalec (ki mogoce ni dovolj dobro pogledal), ce je v uporabi PIN pa banka. Ampak ta praviloma rece, da je slo za malomarnost s tvoje strani, ce je nekdo drug poznal tvoj PIN.

Torej v praksi nastradas ali ti (ker naj bi nekdo drug vedel PIN) ali pa prodajalec (ker ni preveril podpisa), namesto, da bi banka prevzela odgovornost nase.

Lopovi si po novem lahko pomagajo na POS terminalu tudi s kartico za katero ne poznajo PIN-a, medtem ko za bankomate to nicesar ne spremeni.

zee ::

Pred leti sem v Spaniji dozivel, da je bilo treba za placilo s kartico natipkati PIN, podpisati in pokazati osebno izkaznico.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

fiction ::

Kar se tice biometricnih postopkov: mogoce je vseeno bolje, da ti nekdo ukrade kartico kot pa odseka glavo. :)

fiction ::

zee: Mogoce si zgledal sumljiv. :)
Sicer pa ja: podpis in preverjanje osebne je pomoje prav. Edino ne vem zakaj je bil prej se PIN check. Prvo ali drugo bi moralo biti pomoje dovolj (razen ce je bila druga stvar se za "vsak slucaj", se pravi mimo ustaljenih principov).

BlueRunner ::

Ali ni bila Španija tisti kraj, kjer se je ravno nekje lani množično izkoriščalo ponarejene kartice, katerih podatki so bili ukradeni? Nekako se pokrije z z-jevo izkušnjo.

http://24ur.com/novice/slovenija/popotn...
http://mojevro.finance.si/260526

Matthai ::

Ne, to se samo zato, da prevarantje po tem, ko ti skopirajo kartico dobijo tako tvoj podpis, kot tvoj PIN. Ter seveda še osebne podatke 8naslov), itd... :D
All those moments will be lost in time, like tears in rain...
Time to die.

BlueRunner ::

Nice. >:D


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Namesto PIN-a MasterCard želi selfi in prstni odtis

Oddelek: Novice / Ostale najave
418518 (5613) Jst
»

Teoretični napad na plačilne kartice s PIN-om tudi v praksi

Oddelek: Novice / Varnost
279292 (6557) Uranij
»

Plačevanje z Maestro na web-u

Oddelek: Omrežja in internet
81607 (1034) MrStein
»

NLB naknadno spremeni tečaj valute

Oddelek: Loža
242467 (1421) Poldi112
»

Napad MITM na bančne kartice s PIN-om

Oddelek: Novice / --Nerazporejeno--
114811 (4166) ender

Več podobnih tem