Про безпеку карт з чіпом

[noddeat]

У картках з магнітною стрічкою інформація була записана у текстовому вигляді, ну бо пам’ять магнітної стрічки обмежена. Власне, там була та сама інформація, шо вже надрукована на картці, а магнітна стрічка дозволяє ввести її до комп’ютера, не набираючи вручну. Потім термінал продавця (а ви знали, що POS — це point of sale?) з’єднувався з банком і, залежно від типу картки, прохав перевірити або пін, або наявність бабла. Власне, у кредитних карток пін не перевіряється, це вимога Visa/MasterCard, перевіряється тільки підпис, а ризик крадіжки несе банк — це теж фіча, а не баг.

Магнітну стрічку дуже легко скопіювати, для цього треба зовсім недороге обладнання, яке непомітно вставляється  у банкомат, рідше — в платіжний термінал.

Скіммінг був мало знаний у Сполучених Штатах, але свого часу залив Європу, тому європейці швидко перейшли на картки з чіпом. Там можна зберегти набагато більше інформації, а тому можна зберігати її і в зашифрованому вигляді, і взагалі там записана ціла міні операційна система, яка і спілкується з банком, відповідаючи на прості питання «чи така-то сума є на рахунку? чи такий-то пін правильний?». Скопіювати це не неможливо, але набагато складніше, тому картки з чіпом на загал вважаються безпечними.

Однак, є доволі відомий баг — це наявність магнітної стрічки для зворотної сумісності з терміналами, що не вміють читати чіп. Крадії дуже часто встановлюють скімери в банкоматах, копіюють стрічку, виготовляють нову картку та їдуть її використовувати в Румунію (донедавна — в Польщу, але там вже чіпи скрізь). Власне, мої європейські картки працювали в Америці, а тому були так само вразливі, як і картки без чіпу: майже ніде термінали тоді чіп не вміли читати (хоча кажуть, шо зараз уже ліпше).

Але в межах Європи-то ми хоча б захищені, так? Один німецький політик навіть пропонував випускати дві картки — одну без магнітної стрічки, що можна використовувати тільки в ЄУ, а іншу — з магнітною для поїздок по світу. На жаль, цю дуже правильну ідею засудили банки, а ніхто більше не підтримав, тому вона заглохла.

Експеримент, який я несвідомо провів, показав, що якщо на картці є магнітна стрічка, вона робить її вразливою навіть у Європі. В певний момент чіп на моїй картці з’їла корозія (звідка вона виникла?) так, його перестали бачити банкомати і платіжні термінали:

Німецька банківська картка, що за кордоном працює як дебетова Маестро, а в межах країни дає прямий доступ до банківського рахунку.

Ви думаєте, вона перестала працювати? А от і ні! Я помітив, шо шось не так, після того, як в якомусь магазині термінал не хотів з нею працювати. Автомати німецької залізниці теж відмовлялися продавати мені квитки. Однак цю картку я використовував для щотижневих закупівель їжі (в трьох різних супермаркетах різних мереж), а там моя картка продовжувала працювати, як ніби нічого не сталося: тамтовий термінал POS просто думав, шо це картка з магнітною стрічкою без чіпа.

Оскільки у мене є чотири картки, я не спішив її міняти і вирішив продовжувати використовувати так, як є. Банкомати теж стабільно видавали мені готівку, лиш помінявся текст у виписці в онлайновому банкінгу: раніше, коли я знімав у банкоматі свого банку, писало, шо я зняв у банкоматі свого банку, а тепер текст такий, наче я знімаю у банкоматі чужого банку. Точніше не так, банкомат думає тепер, шо це картка не його банку (але комісію не бере, розпізнає як картку «своєї» банківської групи)!

Як бачите, зовсім не потрібно їхати в Румунію, шоб скористатися карткою із скопійованою магнітною стрічкою: деякі магазини з метою приваблення покупців приймають картки без чіпу і взагалі не перевіряють, чи він там повинен бути (хоча на магнітній стрічці ця інфа є). Понадто, німецькі банківські картки не потребують піну при розрахунках в магазині, у 95% випадків треба лише підписати чек, як на кредитних картках. У 5% випадках пін таки прохають, тут я не знаю, хто приймає рішення: термінал POS на підставі генератора випадкових чисел, чи сам чіп після N-ї кількості транзакцій. У мене є підозра, шо друге, але я точно не знаю.

Пройшов час, і банк надіслав нову картку. Там зовсім інший сплав тепер на чіпі, так шо, сподіваюсь, корозії не буде:

В 2014 році Німеччина перейшла на SEPA, тому тепер замість «номеру рахунку» та «коду банку» (див. фотку вище) використовується єдиний 27-цифровий IBAN, який містить номер рахунку, код банку і контрольну суму. Формат IBAN єдиний для всіх країн Єврозони, що спрощує розрахунки в її межах.

Тепер хочеться провести інший експеримент — заклеїти магнітну стрічку та подивитися, як будуть термінали реагувати на її відсутність. Спершу я думав про магнітик, але він і чіп може пошкодити. Але ж є більш простий дівайс, називається «скотч». Хтось такий експеримент проводив може?

Гугл каже, шо банкомати можуть перестати читати картку чомусь.

Comments

[n-l-d.livejournal.com]

Даже чисто чипованные карты в принципе уязвимы - например, можно подставить левый терминал, считать пин, показать одну сумму, а списать совсем другую :)

Но это, конечно, подороже и посложнее скиммера и требует кооперации со стороны как минимум кассира.

[noddeat.livejournal.com]

ну це якраз легко пофіксити — термінал розвертається до клієнта, ти вставляєш/витягаєш картку сам. Нескладна процедура, в Австрії так роблять, а в Німеччині чомусь ритуальні танці з передаванням картки касиру. Ці танці пояснюються тим, шо касир буде перевіряти підпис на чеку з підписом на картці.

[noddeat.livejournal.com]

а, я згадав, шо в Швейцарії теж вставляв сам картку, але потім продавчиня побачила, шо пін не прохає, суворо попрохала віддати її і перевіряла мій (базований на кирилічному письмі) підпис.

[n-l-d.livejournal.com]

Не, идея в том, что в цепочке два терминала. Один нормальный, другой malicious. И второй клиент, само собой, не видит.

Введенный пин на нормальном терминале на транзакцию в 5 евр подставляется как подпись для транзакции в 5000, как-то так.

[noddeat.livejournal.com]

от походу це якраз неможливо, хоча я погано знаю, як це все працює, може і ні.

[ichthuss]

А як це можна технічно унеможливити? Зловмисний термінал з’єднує чіп картки напряму з рідером правильного, підміняє набрану цифру при передачі від клієнта і відповідним чином картинку на екрані при передачі назад. Профіт. Захистити від цього міг би екранчик на картці, який показує суму транзакції, що її зараз підтверджуватиме чіп, і кнопки OK/Cancel на ній же. Без цього атаці запобігти практично нереально.

[noddeat.livejournal.com]

ну, все насправді спирається в те, шо знання, які потрібні, шоб це реалізувати, можна продати абсолютно легально без ризику сісти в тюрму (наприклад, влаштуватися в банк інженером).

тобто, насправді більшість систем захисту тримається на тому, шо ті, в кого є знання, аби їх поламати, можуть отримати аналогічний профіт легальним шляхом. це не таємниця.

А ризик сісти в тюрму тут дуже великий, тому слід рахувати річну зарплату продавця-хакера VS одноразову транзакцію хай навіть на 5k євро.

[ichthuss]

Це зрозуміло. Я причепився до слова "неможливо".

[ichthuss]

Ну тобто є капчоподібні способи, наприклад, написати суму поверх капчі і попросити користувача ввести цю капчу, - так буде складно підмінити цифру. Але це не дуже надійно і створює серйозні складнощі для користувача.

[noddeat.livejournal.com]

ну і друга річ це теж кошт додаткових систем захисту. Часто просто повернути вкрадені гроші (без надії їх знайти) банку може бути вигідніше, ніж випускати тисячі карток з екраном-капчею і тп.

[mrgall.livejournal.com]

Це неможливо — картка з чіпом це фактично мінікомп’ютер, який перевіряє пін та підписує транзакцію своїм внутрішнім ключем. Якщо ти забрав картку і пішов то навіть знаючи всі дані, які ти вводив на терміналі, неможливо згенерувати транзакцію без наявності картки в тому самому терміналі, де показувалась сума транзакції та вводився пін.

[noddeat.livejournal.com]

тобто пін зберігається на чіпі, він перевіряється не через мережу? Цікаво.

[mrgall.livejournal.com]

У відкритому вигляді пін в чіпі не зберігається (там є щось типу його хешу) а от чи буде він перевірятися (замість перевірки по мережі) залежить від банку, терміналу і т.п. Термінал може знаходитись десь на літаку і не мати інтернету але перевірка піну все одно відбудеться.

[mrgall.livejournal.com]

В штатах теж вже активно впроваджують чіпові картки (після кількох великих зливів даних магнітних карток), правда за технологією chip and signature (бо тутешні кредитки завжди обробляються без піну). У моїх карток чіпи вже на більшості.
Щодо вразливості картки з чіпом бо залишається магнітна смуга — діє правило «хто має старішу технологію — той і відповідає за неавторизовану транзакцію». Тобто якщо картка вже з чіпом а в POS немає рідера для чіпів то платить продавець, інакше — банк, що випустив картку (у власника кредитки 0 відповідальність).
Помітив, що деякі магазини почали впроваджувати рідери для чіпів, але вони неактивні. Продавці зазвичай не в курсі, що карткою можна розплачуватись відмінним від магнітної смуги способом.
Правда те саме стосується безпровідних платежів телефоном :)

[noddeat.livejournal.com]

та, у нас теж chip&signature — це вимога для кредиток від Visa/MasterCard. А з дебетовою карткою може пін прохати, а може підпис — і так, і так, іноді цей вибір рендомний.

все, шо продається автоматами, то, звісно, прохає пін (але не для кредиток — для них взагалі нічого не прохає, тому більшість автоматів кредитки не приймають, ггг).

[mrgall.livejournal.com]

Гм, а я чув, що кредиток в Європі пін все одно є і перевіряється. Саме тому в брошурах, які йдуть з чіповими картками, акцентується увага, що це chip and signature і що в терміналах в Європі воно буде оброблятися трохи інакше, ніж місцеві картки.
Можливо це ще від країни залежить (і в якійсь Норвегії всі кредитки з піном).

[noddeat.livejournal.com]

нє, пін то є, але він ніколи не перевіряється в місцях, де касир — людина. Він може в деяких країнах перевірятися у автоматах (в Німеччині — не перевіряється). Тому було так, шо я забув свій пін, бо ніколи його не викорстовував, приїхав у Швейцарію, а там автомат залізничних квитків його хоче. На щастя, з другої спроби згадав.

[mrgall.livejournal.com]

Ага, от в чому справа. Ну якщо автомат налаштованих на обов’язковий пін то американські кредитки підуть лісом.
Хоча, можливо, автомат достатньо розумний і вимагає пін лише для карток, в яких він в принципі є.
Він точно не буде питати billing zip, який тут іноді використовується замість піну для кредиток.

[noddeat.livejournal.com]

ааа, точно, ZIP, я так кілька разів на заправках обламувався з кредиткою. Правда, іноді проходило, коли я поштовий код свого міста писав о_О

[mrgall.livejournal.com]

Читав про подібні випадки з канадськими кредитками: радили взяти лише цифри з поштового коду (щось типу K8N 5W6) а потім додати нулі на початку щоб вийшло 5-ти значне число.

[noddeat.livejournal.com]

ну, в мене п’ятизначне число і є. Теоретично, в принципі, існує механізм перевірки billing address, коли, наприклад, онлайн шось купуєш, але чи дійсно німецький банк перевіряв поштовий код і давав відповідь, чи просто він не давав відповіді «код неправильний», і деякі термінали задовольнялись цим, а деякі ні.

[noddeat.livejournal.com]

>Правда те саме стосується безпровідних платежів телефоном :)

до речі, несподівано в Польщі майже скрізь з’явилися термінали PayPass/PayWave, і всі банки випускають картки з цією технологією (я так розумію, там аналогічна система, як і в платежах телефоном через NFC). А в Німеччині натомість ніде такого терміналу і не бачив (ну, вони є, але дуже мало). Навіть не знаю, як це пояснити.

[mrgall.livejournal.com]

Я думаю, це тому, що у Німеччині платіжні системи, картки та термінали з’явилися раніше за Польщу, тому вони в більшості все ще мають старіші технології. А у Польщі це все почало масово впроваджуватися пізніше, тому одразу впроваджували новіші технологоії. Ну і банки відповідно побачили сенс усім роздавати картки з PayPass/PayWave.
Це як з домашнім інтернетом в штатах — з’явився рано і вже давно пройшов пік активного розвитку :(

[noddeat.livejournal.com]

та от в тому то й річ, шо ні. я коли мешкав, ше не було навіть чіпів, як у Америці, але готівка потрібна було дуже рідко. Я поїхав, приїхав через рік — скрізь PayPass-и.