Про безпеку карт з чіпом
Nov. 26th, 2014 11:11 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
noddeatУ картках з магнітною стрічкою інформація була записана у текстовому вигляді, ну бо пам’ять магнітної стрічки обмежена. Власне, там була та сама інформація, шо вже надрукована на картці, а магнітна стрічка дозволяє ввести її до комп’ютера, не набираючи вручну. Потім термінал продавця (а ви знали, що POS — це point of sale?) з’єднувався з банком і, залежно від типу картки, прохав перевірити або пін, або наявність бабла. Власне, у кредитних карток пін не перевіряється, це вимога Visa/MasterCard, перевіряється тільки підпис, а ризик крадіжки несе банк — це теж фіча, а не баг.
Магнітну стрічку дуже легко скопіювати, для цього треба зовсім недороге обладнання, яке непомітно вставляється у банкомат, рідше — в платіжний термінал.
Скіммінг був мало знаний у Сполучених Штатах, але свого часу залив Європу, тому європейці швидко перейшли на картки з чіпом. Там можна зберегти набагато більше інформації, а тому можна зберігати її і в зашифрованому вигляді, і взагалі там записана ціла міні операційна система, яка і спілкується з банком, відповідаючи на прості питання «чи така-то сума є на рахунку? чи такий-то пін правильний?». Скопіювати це не неможливо, але набагато складніше, тому картки з чіпом на загал вважаються безпечними.
Однак, є доволі відомий баг — це наявність магнітної стрічки для зворотної сумісності з терміналами, що не вміють читати чіп. Крадії дуже часто встановлюють скімери в банкоматах, копіюють стрічку, виготовляють нову картку та їдуть її використовувати в Румунію (донедавна — в Польщу, але там вже чіпи скрізь). Власне, мої європейські картки працювали в Америці, а тому були так само вразливі, як і картки без чіпу: майже ніде термінали тоді чіп не вміли читати (хоча кажуть, шо зараз уже ліпше).
Але в межах Європи-то ми хоча б захищені, так? Один німецький політик навіть пропонував випускати дві картки — одну без магнітної стрічки, що можна використовувати тільки в ЄУ, а іншу — з магнітною для поїздок по світу. На жаль, цю дуже правильну ідею засудили банки, а ніхто більше не підтримав, тому вона заглохла.
Експеримент, який я несвідомо провів, показав, що якщо на картці є магнітна стрічка, вона робить її вразливою навіть у Європі. В певний момент чіп на моїй картці з’їла корозія (звідка вона виникла?) так, його перестали бачити банкомати і платіжні термінали:
Німецька банківська картка, що за кордоном працює як дебетова Маестро, а в межах країни дає прямий доступ до банківського рахунку.
Ви думаєте, вона перестала працювати? А от і ні! Я помітив, шо шось не так, після того, як в якомусь магазині термінал не хотів з нею працювати. Автомати німецької залізниці теж відмовлялися продавати мені квитки. Однак цю картку я використовував для щотижневих закупівель їжі (в трьох різних супермаркетах різних мереж), а там моя картка продовжувала працювати, як ніби нічого не сталося: тамтовий термінал POS просто думав, шо це картка з магнітною стрічкою без чіпа.
Оскільки у мене є чотири картки, я не спішив її міняти і вирішив продовжувати використовувати так, як є. Банкомати теж стабільно видавали мені готівку, лиш помінявся текст у виписці в онлайновому банкінгу: раніше, коли я знімав у банкоматі свого банку, писало, шо я зняв у банкоматі свого банку, а тепер текст такий, наче я знімаю у банкоматі чужого банку. Точніше не так, банкомат думає тепер, шо це картка не його банку (але комісію не бере, розпізнає як картку «своєї» банківської групи)!
Як бачите, зовсім не потрібно їхати в Румунію, шоб скористатися карткою із скопійованою магнітною стрічкою: деякі магазини з метою приваблення покупців приймають картки без чіпу і взагалі не перевіряють, чи він там повинен бути (хоча на магнітній стрічці ця інфа є). Понадто, німецькі банківські картки не потребують піну при розрахунках в магазині, у 95% випадків треба лише підписати чек, як на кредитних картках. У 5% випадках пін таки прохають, тут я не знаю, хто приймає рішення: термінал POS на підставі генератора випадкових чисел, чи сам чіп після N-ї кількості транзакцій. У мене є підозра, шо друге, але я точно не знаю.
Пройшов час, і банк надіслав нову картку. Там зовсім інший сплав тепер на чіпі, так шо, сподіваюсь, корозії не буде:
В 2014 році Німеччина перейшла на SEPA, тому тепер замість «номеру рахунку» та «коду банку» (див. фотку вище) використовується єдиний 27-цифровий IBAN, який містить номер рахунку, код банку і контрольну суму. Формат IBAN єдиний для всіх країн Єврозони, що спрощує розрахунки в її межах.
Тепер хочеться провести інший експеримент — заклеїти магнітну стрічку та подивитися, як будуть термінали реагувати на її відсутність. Спершу я думав про магнітик, але він і чіп може пошкодити. Але ж є більш простий дівайс, називається «скотч». Хтось такий експеримент проводив може?
Гугл каже, шо банкомати можуть перестати читати картку чомусь.
Магнітну стрічку дуже легко скопіювати, для цього треба зовсім недороге обладнання, яке непомітно вставляється у банкомат, рідше — в платіжний термінал.
Скіммінг був мало знаний у Сполучених Штатах, але свого часу залив Європу, тому європейці швидко перейшли на картки з чіпом. Там можна зберегти набагато більше інформації, а тому можна зберігати її і в зашифрованому вигляді, і взагалі там записана ціла міні операційна система, яка і спілкується з банком, відповідаючи на прості питання «чи така-то сума є на рахунку? чи такий-то пін правильний?». Скопіювати це не неможливо, але набагато складніше, тому картки з чіпом на загал вважаються безпечними.
Однак, є доволі відомий баг — це наявність магнітної стрічки для зворотної сумісності з терміналами, що не вміють читати чіп. Крадії дуже часто встановлюють скімери в банкоматах, копіюють стрічку, виготовляють нову картку та їдуть її використовувати в Румунію (донедавна — в Польщу, але там вже чіпи скрізь). Власне, мої європейські картки працювали в Америці, а тому були так само вразливі, як і картки без чіпу: майже ніде термінали тоді чіп не вміли читати (хоча кажуть, шо зараз уже ліпше).
Але в межах Європи-то ми хоча б захищені, так? Один німецький політик навіть пропонував випускати дві картки — одну без магнітної стрічки, що можна використовувати тільки в ЄУ, а іншу — з магнітною для поїздок по світу. На жаль, цю дуже правильну ідею засудили банки, а ніхто більше не підтримав, тому вона заглохла.
Експеримент, який я несвідомо провів, показав, що якщо на картці є магнітна стрічка, вона робить її вразливою навіть у Європі. В певний момент чіп на моїй картці з’їла корозія (звідка вона виникла?) так, його перестали бачити банкомати і платіжні термінали:
Німецька банківська картка, що за кордоном працює як дебетова Маестро, а в межах країни дає прямий доступ до банківського рахунку.
Ви думаєте, вона перестала працювати? А от і ні! Я помітив, шо шось не так, після того, як в якомусь магазині термінал не хотів з нею працювати. Автомати німецької залізниці теж відмовлялися продавати мені квитки. Однак цю картку я використовував для щотижневих закупівель їжі (в трьох різних супермаркетах різних мереж), а там моя картка продовжувала працювати, як ніби нічого не сталося: тамтовий термінал POS просто думав, шо це картка з магнітною стрічкою без чіпа.
Оскільки у мене є чотири картки, я не спішив її міняти і вирішив продовжувати використовувати так, як є. Банкомати теж стабільно видавали мені готівку, лиш помінявся текст у виписці в онлайновому банкінгу: раніше, коли я знімав у банкоматі свого банку, писало, шо я зняв у банкоматі свого банку, а тепер текст такий, наче я знімаю у банкоматі чужого банку. Точніше не так, банкомат думає тепер, шо це картка не його банку (але комісію не бере, розпізнає як картку «своєї» банківської групи)!
Як бачите, зовсім не потрібно їхати в Румунію, шоб скористатися карткою із скопійованою магнітною стрічкою: деякі магазини з метою приваблення покупців приймають картки без чіпу і взагалі не перевіряють, чи він там повинен бути (хоча на магнітній стрічці ця інфа є). Понадто, німецькі банківські картки не потребують піну при розрахунках в магазині, у 95% випадків треба лише підписати чек, як на кредитних картках. У 5% випадках пін таки прохають, тут я не знаю, хто приймає рішення: термінал POS на підставі генератора випадкових чисел, чи сам чіп після N-ї кількості транзакцій. У мене є підозра, шо друге, але я точно не знаю.
Пройшов час, і банк надіслав нову картку. Там зовсім інший сплав тепер на чіпі, так шо, сподіваюсь, корозії не буде:
В 2014 році Німеччина перейшла на SEPA, тому тепер замість «номеру рахунку» та «коду банку» (див. фотку вище) використовується єдиний 27-цифровий IBAN, який містить номер рахунку, код банку і контрольну суму. Формат IBAN єдиний для всіх країн Єврозони, що спрощує розрахунки в її межах.
Тепер хочеться провести інший експеримент — заклеїти магнітну стрічку та подивитися, як будуть термінали реагувати на її відсутність. Спершу я думав про магнітик, але він і чіп може пошкодити. Але ж є більш простий дівайс, називається «скотч». Хтось такий експеримент проводив може?
Гугл каже, шо банкомати можуть перестати читати картку чомусь.
no subject
Date: 2014-11-26 02:05 pm (UTC)no subject
Date: 2014-11-26 02:23 pm (UTC)