» »

Teoretični napad na plačilne kartice s PIN-om tudi v praksi

Teoretični napad na plačilne kartice s PIN-om tudi v praksi

Prototip iz leta 2010

Predelana kartica iz prakse

Wired News - Francoski raziskovalci so predstavili praktično uporabo enega izmed načinov zlorabe plačilnih kartic, na katerega so raziskovalci iz Cambridgea teoretično opozorili že leta 2010. Tedaj so EMVCo in banke odmahnili z roko, da je v praksi ranljivost nemogoče zlorabiti. Francoski zlikovci so jih hitro demantirali in že v letih 2011-2012 začeli zlorabljati ranljivost. Danes je ta že odpravljena, zato so francoski raziskovalci z École Normale Supérieure v članku predstavili podrobnosti.

Za uspešno izvedbo transakcije moramo pri uporabi novih kartic s čipom vnesti pravilen PIN. Terminal preveri vneseni PIN tako, da čipu na kartici pošlje PIN, ta pa potem preveri, ali se njegova zgoščena vrednost ujema s tisto, ki je shranjena v čipu. Tako se PIN ne prenaša po zunanjih omrežjih, hkrati pa iz čipa ni mogoče izluščiti PIN-a. Gre pa nekoliko drugače, so ugotovili nepridipravi. Izdelali so ponarejene plačilne kartice, ki so imele dodan sekundarni čip, ki je potrdil vsak vnesen PIN. Na ta način so se izognili preverjanju PIN-a, saj informacija o vnosu sploh ni prispela do originalnega čipa. Šlo je torej za klasičen MITM-napad. Ukradli so okrog 600.000 evrov, dobili pa so jih, ker so kartice večkrat uporabili na istem prodajnem mestu. Ko so oškodovanci prijavili kaznivo dejanje, je policija tatove lahko pričakala.

Ko so leta 2010 raziskovalci s Cambridgea demonstrirali ta napad, so potrebovali prenosnik s posebno programsko opremo in FPGA-vezje. Za BBC so pokazali, da je mogoče potrebno opremo skriti v nahrbtnik, kar pa še vedno ni ravno praktično. Konzorcij EMVCo je zato tedaj ob napadu dejal, da je v praksi tak napad neizvedljiv. Peterici sedaj že aretiranih kriminalcev pa je uspelo tehnologijo pomanjšati v čip, ki so ga vgradili v ponarejene kartice, da so bile le malo debelejše od običajnih. Še vedno so bile dovolj tanke, da jih je bilo mogoče z rahlim zatikanjem vstaviti v bralne reže.

Dandanes na omenjeni način ni mogoče več pretentati terminalov, pravijo v EMVCo, ker se že pred vnosom PIN-a uporablja predpreverjanje, ki zazna, ali sta bila kartica oziroma čip modificirana.

27 komentarjev

Uranij ::

Zanimiv in premeten napad. Se vedno pa se mora tukaj prvo zgoditi kraja.

Tukaj je se en podoben primer fraudov, ce koga zanima kej vec in ima urco casa..

https://media.ccc.de/v/31c3_-_6120_-_en...

LP

Matthai ::

Zanimivo je pa tudi kako so jih dobili. Imeli so lokacije bankomatov, kjer so se zgodile zlorabe in čase. Nato so pridobili prometne podatke iz batnih postaj, naredili presek in voila - ven je padel seznam osumljencev.
All those moments will be lost in time, like tears in rain...
Time to die.

Uranij ::

Dvomim, da so pobirali denar iz bankomatov, saj so bankomati v splosnem online-only.
Placilni terminali morajo pa servisirati placilo hitreje, kar pomeni, da pogosto ostanejo offline --> Kartica odloci, da je dovolj varno opraviti offline placilo. Ker so zmanipulirali stevec na kartici, se sami kartici ni zdelo nikoli vredno iti online.

LP

jc ::

Maestro ne vem če lahko delujejo offline, saj kartica ne pozna stanja.

Uranij ::

jc je izjavil:

Maestro ne vem če lahko delujejo offline, saj kartica ne pozna stanja.


Lahko, lahko. Po EMV standardu obstaja namreč nek, takoimenovan Card Risk Managemant Object list (CDOL), kjer kartica odloči ali se lahko transakcija sprocesira online ali offline. Res je, da imajo debetne kartice te parametre nastavljeno precej restriktivno, vendar možnost offline Maestra obstaja.

M.B. ::

To je ista zadeva kot to?, kjer so zmanipulirali kartico ali pa POS terminal da je kartica mislila da gre za transakcijo brez PIN-a (z magnetnim trakom) naprava pa da je PIN pravilen.

Pri novejših napadih pa samo prelepiš čip kartice z
 SIM nalepko

SIM nalepko

, ki ima vse to kar so prej rabli met v nahrbtniku.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

Majkl ::

Matthai je izjavil:

Zanimivo je pa tudi kako so jih dobili. Imeli so lokacije bankomatov, kjer so se zgodile zlorabe in čase. Nato so pridobili prometne podatke iz batnih postaj, naredili presek in voila - ven je padel seznam osumljencev.



Evo, tole se pri nas najbrz ne more zgoditi :) Da bi pridobili vecje kolicine prometnih podatkov od ljudi, ki so bili na tistem podrocju...
FMPOV

jc ::

Uranij je izjavil:


Lahko, lahko. Po EMV standardu obstaja namreč nek, takoimenovan Card Risk Managemant Object list (CDOL), kjer kartica odloči ali se lahko transakcija sprocesira online ali offline. Res je, da imajo debetne kartice te parametre nastavljeno precej restriktivno, vendar možnost offline Maestra obstaja.


Torej teoretično lahko zapraviš več kot imaš na računu?

Uranij ::

jc je izjavil:

Uranij je izjavil:


Lahko, lahko. Po EMV standardu obstaja namreč nek, takoimenovan Card Risk Managemant Object list (CDOL), kjer kartica odloči ali se lahko transakcija sprocesira online ali offline. Res je, da imajo debetne kartice te parametre nastavljeno precej restriktivno, vendar možnost offline Maestra obstaja.


Torej teoretično lahko zapraviš več kot imaš na računu?


Ja je možno, in se tudi dogaja. Vendar ne v velikih količinah. V kolikor je znesek visok, ali pa je bilo več manjših zneskov, bo kartica šla vedno preverit še na server, če se avtorizacija uspe. Pri raznoraznih otroških in študentskih računih je pa kartica v vsakem primeru tako presonalizirana, da gre VEDNO online, saj je tam tveganje večje.

LP

GupeM ::

Ja pri maestro vem da sem včasih lahko v trgovini plačal nekaj za recimo 10eur, takoj za tem pa sem lahko še na bankomatu dvignil 10eur, kljub temu da sem imel na računu samo 10eur. To je delovalo samo, če je med plačilom v trgovini in dvigu na bankomatu preteklo malo časa. Če pa sem pred tem dvignil na bankomatu, pa v trgovini nisem mogel plačati.

Se je pa zadeva spremenila in se očitno vedno poveže na server, saj drugače tudi sms obvestila o transakcijah ne bi delovala.

To je delovalo na študentski kartici, si pa s tem prišel v nedovoljeno negativno stanje, kjer so pa obresti oderuške. K sreči sem to običajno prakticiral kakšen dan preden sem dobil nakazilo in na zelo majhnih zneskih, tako da kakšnih hudih obresti nisem nikoli plačal :D

MrStein ::

jc je izjavil:

Uranij je izjavil:


Lahko, lahko. Po EMV standardu obstaja namreč nek, takoimenovan Card Risk Managemant Object list (CDOL), kjer kartica odloči ali se lahko transakcija sprocesira online ali offline. Res je, da imajo debetne kartice te parametre nastavljeno precej restriktivno, vendar možnost offline Maestra obstaja.


Torej teoretično lahko zapraviš več kot imaš na računu?

Zakaj pa misliš da obstaja izraz "nedovoljeno negativno stanje" ?

GupeM je izjavil:


To je delovalo na študentski kartici, si pa s tem prišel v nedovoljeno negativno stanje, kjer so pa obresti oderuške.

Obresti to tam enake tistim za dovoljeno negativno stanje ("limit") in niso daleč od normalnih posojil ("kredit").

(sicer so res orjaške, če jih primerjamo z obrestmi za pozitivno stanje)
Teštiram če delaž - umlaut dela: ä ?

Zgodovina sprememb…

  • spremenil: MrStein ()

jc ::

Ne vem, relikt iz offline časov? Sicer pa te kartice so itak ena velika žalost. V ZDA ne samo da niso kartice na pin, še podpisa ni treba več.

Uranij ::

V Ameriki je tudi veliko več poneverb. Ampak Visa, Mastercard in Amex služijo še vedno toliko, da jim je ceneje občasno povračilo denarja kot pa zamenjava sistemov po celi državi.

Se pa vseeno počasi premikajo v smeri čipa, vsaj pri NFC transakcijah. PIN-a pa res ne želijo, kar ima pozitivne in negativne posledice.

MrStein ::

Podpisa oziroma PIN-a niti pri nas več ne potrebuješ, če plačuješ "bližinsko" (NFC). (do neke vsote)
Teštiram če delaž - umlaut dela: ä ?

Uranij ::

MrStein je izjavil:

Podpisa oziroma PIN-a niti pri nas več ne potrebuješ, če plačuješ "bližinsko" (NFC). (do neke vsote)

Tukaj govorimo spet o risk managementu. V Sloveniji ti ni potrebno vpisati PIN-a/podpisa (no CVM required) do zneska 15 EUR. Vendar, poskusi enkrat plačevati samo nizke zneske in vedno brezstično. Upam trditi, da bo kartica po cca 5 - 10 poskusih plačila zahtevala, da kartico vstaviš v terminal in vpišeš PIN. V primeru, da boš enkrat plačal večji znesek kot 15 EUR, oziroma stično, kjer bo PIN vnešen, se bo števec resetiral spet na 0.

LP

srus ::

Matthai je izjavil:

Zanimivo je pa tudi kako so jih dobili. Imeli so lokacije bankomatov, kjer so se zgodile zlorabe in čase. Nato so pridobili prometne podatke iz batnih postaj, naredili presek in voila - ven je padel seznam osumljencev.


Le kako si je policija drznila dostopati do mobilnih lokacijskih podatkov in zakaj so jih operaterji sploh hranili. :)

Razne informacijske pooblaščenke skačejo do stropa.

FileGo1 ::

jc je izjavil:

Ne vem, relikt iz offline časov? Sicer pa te kartice so itak ena velika žalost. V ZDA ne samo da niso kartice na pin, še podpisa ni treba več.


V nedovoljeno negativno stanje lahko prideš tudi, da nimaš dosti denarja na računu/limitu, ko ti banka trga znesek s plačilne/kreditne kartice.

bbbbbb2015 ::

jc je izjavil:

Ne vem, relikt iz offline časov? Sicer pa te kartice so itak ena velika žalost. V ZDA ne samo da niso kartice na pin, še podpisa ni treba več.


Ni relikt iz preteklih časov.

Recimo na avtocesti na samopostrežnih avtomatih lahko plačuješ, brez da bi vpisal pin.

Tudi če ženski daš kreditno, ti odtegne denar, četudi nihče ni vtipkal pina.

To je po moje vse offline.

Si ne predstavljam, da bi mi ženska molila iz hiške češ tu pa pin vpišite. Pa dež pa vlaga.

tikitoki ::

jc je izjavil:

Maestro ne vem če lahko delujejo offline, saj kartica ne pozna stanja.


Se strinjam. Ne vem kje so to zastarelo tehnologijo uporabljali. Pri nas je za plačilo potrebna avtorizacija in že dolgo tega si moral imeti za uporabo POS terminala vsaj telefonsko linijo, preko katere se je POS terminal povezal s strežnikom in dobil oz. ni dobil odobritev za transakcijo.
Verjetno pa tudi nisem edini, ki ni mogel plačati s kartico, ker so imeli težave s povezavo.
Očitno pa v so ponekod uporabljali neke poenostavljene rešitve.

jc ::

bbbbbb2015 je izjavil:

jc je izjavil:

Ne vem, relikt iz offline časov? Sicer pa te kartice so itak ena velika žalost. V ZDA ne samo da niso kartice na pin, še podpisa ni treba več.


Ni relikt iz preteklih časov.

Recimo na avtocesti na samopostrežnih avtomatih lahko plačuješ, brez da bi vpisal pin.

Tudi če ženski daš kreditno, ti odtegne denar, četudi nihče ni vtipkal pina.

To je po moje vse offline.

Si ne predstavljam, da bi mi ženska molila iz hiške češ tu pa pin vpišite. Pa dež pa vlaga.


Na AC v Italiji sploh ne deluje Maestro, samo Visa/MC. Prav tako ne deluje niti kreditna, če si že dosegel limit. Na Maestro že dolgo nisem doživel, da bi šlo skozi brez pina, prav tako sem vedno dobil SMS.

Looooooka ::

Če je banka zaupala trgovcu mu je pač dovolila trganje brez pina, ker so imel že dovolj dobre izkušnje/pogodbo. Še danes imaš to možnost. Stvar dogovora. Tako kot 3D secure in podobni mehanizmi pri online transakcijah. So banke, ki ga eksplicitno zahtevajo, večina pa pač ne. Trgovci pa pač uporabijo tisto, kar omogoča hitrejši checkout(torej brez). Kar se tiče POS nakupov brez PINa je ta možen tudi pri nas in ne samo v ZDA. Isto izkušnjo sem imel tudi na Češkem v O'Neil štacuni. Znesek krepko čez 100 eur.

pijavka ::

Maestro/Mastercard/Visa? Katero banko imaš? V kateri trgovini v Slo se ti je zgodilo? Jaz 15 let uporabljam NLB in 1 leto Delavsko, pa sem moral še v vseh trgovinah v SLO pri plačilu z Maestro vnesti PIN.

Uranij ::

Torej, da razčistimo. Vnašanje PIN-a in Online plačilo nista neposredno povezana pojma. Torej lahko
- Kartica ne zahteva PIN-a, transakcija gre vseeno online.
- Kartice ne zahteva PIN-a, transakcija je offline.
- Kartica zahteva PIN, vendar je transakcija offline (t.i. offline PIN).
- Kartica zahteva PIN, vendar je transakcija online.

V splošnem velja tako, da vsak čip zahteva PIN, vendar je tukaj veliko faktorjev, ki vplivajo na drugačen razplet.

Kartica ima v čipu shranjeno t. i. CVM Rules (Card Verification Method Rules). Ta parameter pove kartici katero strategijo avtentikacije lastnika kartice naj uporabi. Ponavadi je teh pravil več in izgledajo približno takole:

1. Če terminal omogoča offline PIN opravi to, v primeru da ne, glej točko 2. Če je offline PIN negativen, zavrni transakcijo.
2. Če terminal omogoča online PIN opravi to, drugače glej točko 3. Če je PIN negativen, zavrni transakcijo.
3. Če terminal omogoča podpis opravi to, drugače glej točko 4.
4. Kartica podpira tudi NoCVM metodo.

Vsak terminal ima tudi svoje pogoje in velikokrat se zgodi da določeni terminali ne podpirajo vseh CVM.

V praksi se zna zgoditi, kot je nekdo že omenil tudi na italijanskih avtocestah, da lahko kartico samo vtaknem v terminal in nam jo odobri z NoCVM metodo (točka 4).

Sam Maestro, kot debetna kartica je nastavljen precej restriktivno, nove kartice menda vse pogosteje ne podpirajo več točke 3. in 4. Je pa to vse odvisno od banke, ki te kartice izdaja.

galu ::

@Uranij

Na avtocestah, kolikor se spomnim (HR, ITA) sem do zdaj na vseh terminalnih videl "številčnico" za vpis (predvidevam) PIN-a.
Pa mi je vedno uspelo peljati skozi brez vnosa (SKB debetna Visa)... Terminal bi torej naj omogočal offline/online PIN, zakaj potem to preskoči? Convenience over security (po napisanih 4 pravilih bi se moral "ujeti" v 1. ali 2. pravilo)?
Tako to gre.

Zgodovina sprememb…

  • spremenil: galu ()

Jst ::

No, jaz imam kreditno Viso, (poleg debetne) in se mi dostikrat zgodi, da gre kakšna transakcija skozi, čeprav "po logiki" ne bi smela. Torej limit 1000, porabljeno že 995 (ostane samo še 5), plačam pa recimo 50 in gre skozi. To se mi je zgodilo v Mercatorju ter na Petrolu. Vendar odkar so pri SKBju default debetne Vise, kreditno vedno manj uporabljam. Zakaj je transakcija šla skozi, nisem nikoli raziskoval, vendar kar pravi Uranij, se sklada z mojimi izkušnjami.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

MrStein ::

Online preverba košta monete. Zato se ji poskušajo izogniti.
Pri tem seveda tvegajo, da ima plačnik prazen račun.
To je cela znanost odzadaj, kako in zakaj se odločijo pri vsakem primeru.
Teštiram če delaž - umlaut dela: ä ?

Uranij ::

galu je izjavil:

@Uranij

Na avtocestah, kolikor se spomnim (HR, ITA) sem do zdaj na vseh terminalnih videl "številčnico" za vpis (predvidevam) PIN-a.
Pa mi je vedno uspelo peljati skozi brez vnosa (SKB debetna Visa)... Terminal bi torej naj omogočal offline/online PIN, zakaj potem to preskoči? Convenience over security (po napisanih 4 pravilih bi se moral "ujeti" v 1. ali 2. pravilo)?


Glede Italije, vsaj na A1 in A22, ti lahko zagotovim da nimajo PED-a (PIN Entry Device).
Drugače je pa tako, tako kot ima kartica svojo listo ima tudi terminal svojo listo (Terminal Capabilities). Nekateri terminali ne podpirajo podpisa (t.i. Unatendant, kjer prodajalec ni prisoten), nekateri so offline only (torej online transakcije odpadejo, tudi online PIN).

V resnici so pravila, ki sem jih včeraj zapisal, na vsaki kartici drugače personalizirana. Veliko kartic tudi nima zakriptiranega offline PIN-a na kartici, kar pomeni da pravilo 1 že v startu odpade.
V kolikor so imeli terminali na avtocestah tudi PED, pa mogoče ne podpirajo online transakcij, torej tudi Online PIN odapde. Podpis tudi ni veljaven na t.i. Unatendant terminalih. Ostane nam samo še noCVM. Je pa to samo ena od možnih razlag in o njih lahko samo ugibamo, saj je kombinacij ogromno.
V kolikor bi te to bolj zanimalo mi pa lahko pišeš ZS pa ti o EMV lahko razložim še veliko več.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Teoretični napad na plačilne kartice s PIN-om tudi v praksi

Oddelek: Novice / Varnost
278097 (5362) Uranij
»

Nemci bi uvedli kartice brez magnetnega traku

Oddelek: Novice / Varnost
236104 (3303) nodrim
»

Napad na bančne kartice in morebitna revizija v preiskavi

Oddelek: Novice / Varnost
133541 (2781) BlueRunner
»

Napad MITM na bančne kartice s PIN-om

Oddelek: Novice / --Nerazporejeno--
114418 (3773) ender
»

Kopiranje bankomat kartice

Oddelek: Informacijska varnost
52712 (2363) Brane2

Več podobnih tem