Teoretični napad na plačilne kartice s PIN-om tudi v praksi

Francoski raziskovalci so predstavili praktično uporabo enega izmed načinov zlorabe plačilnih kartic, na katerega so raziskovalci iz Cambridgea teoretično opozorili že leta 2010. Tedaj so EMVCo in banke odmahnili z roko, da je v praksi ranljivost nemogoče zlorabiti. Francoski zlikovci so jih hitro demantirali in že v letih 2011-2012 začeli zlorabljati ranljivost. Danes je ta že odpravljena, zato so francoski raziskovalci z École Normale Supérieure v članku predstavili podrobnosti.

Za uspešno izvedbo transakcije moramo pri uporabi novih kartic s čipom vnesti pravilen PIN. Terminal preveri vneseni PIN tako, da čipu na kartici pošlje PIN, ta pa potem preveri, ali se njegova zgoščena vrednost ujema s tisto, ki je shranjena v čipu. Tako se PIN ne prenaša po zunanjih omrežjih, hkrati pa iz čipa ni mogoče izluščiti PIN-a. Gre pa nekoliko drugače, so ugotovili nepridipravi. Izdelali so ponarejene plačilne kartice, ki so imele dodan sekundarni čip, ki je potrdil vsak vnesen PIN. Na ta način so se izognili preverjanju PIN-a, saj informacija o vnosu sploh ni prispela do originalnega čipa. Šlo je torej za klasičen MITM-napad. Ukradli so okrog 600.000 evrov, dobili pa so jih, ker so kartice večkrat uporabili na istem prodajnem mestu. Ko so oškodovanci prijavili kaznivo dejanje, je policija tatove lahko pričakala.

Ko so leta 2010 raziskovalci s Cambridgea demonstrirali ta napad, so potrebovali prenosnik s posebno programsko opremo in FPGA-vezje. Za BBC so pokazali, da je mogoče potrebno opremo skriti v nahrbtnik, kar pa še vedno ni ravno praktično. Konzorcij EMVCo je zato tedaj ob napadu dejal, da je v praksi tak napad neizvedljiv. Peterici sedaj že aretiranih kriminalcev pa je uspelo tehnologijo pomanjšati v čip, ki so ga vgradili v ponarejene kartice, da so bile le malo debelejše od običajnih. Še vedno so bile dovolj tanke, da jih je bilo mogoče z rahlim zatikanjem vstaviti v bralne reže.

Dandanes na omenjeni način ni mogoče več pretentati terminalov, pravijo v EMVCo, ker se že pred vnosom PIN-a uporablja predpreverjanje, ki zazna, ali sta bila kartica oziroma čip modificirana.