Исследователи из Кембриджа обнаружили уязвимость в кредитных картах
По сообщению интернет издания AllPayNews – Исследователи из компьютерной лаборатории Университета Кембриджа обнаружили недостатки в чипах и системах PIN-кодов, которые позволяют преступникам использовать украденные кредитные и дебетовые карты, не зная правильного PIN-кода.
Мошенники могут легко вставить “клин” между украденной картой и терминалом. Благодаря такому ловкому приёму терминал считает, что код был введён правильно.
На самом же деле, мошенник может ввести любой PIN и сделка будет проведена, обнаружили Стивен Мердок, Каап Дример, Росс Андерсон и Майк Бонда.
Доктор Мердок рассказал: “Мы проверили такую атаку против карт, эмитированных самыми крупными банками Великобритании. Все они оказались уязвимыми”.
Жертва такой мошеннической операции будет иметь определенные трудности при обращении в банк. Проведение такой транзакции будет определено как “подтвержденной PIN-кодом” и банковская отчетность покажет, что был использован правильный PIN-код. Банки будут утверждать, что клиент допустил небрежность и позволил злоумышленникам узнать его PIN-код.
Доктор Дример говорит: “Технические сложности для проведения такой атаки минимальны, а оборудование компактно – даже сотрудники магазина ничего не смогут заметить. Преступник один может создать комплект для использования другими людьми, которым даже не нужно понимать, как работает мошенническая схема “.
Атаки кембриджских исследователей были показаны на BBC в программе «Two’s Newsnight». В телепередаче ставилась под вопрос не только схема защиты кредиток чипом и PIN-кодом, но и общая безопасность карточных платежей. Жертвы мошенничества, как правило, говорили, что на банковские системы защиты можно положиться. Однако подобные атаки доказывают, что преступники могут обмануть не только клиентов но и банковские системы, чтобы они делали ложное заключение – PIN-код был введён правильно.
Профессор Андерсон говорит: “Преступники за последние пять лет похитили у тысяч граждан информацию об их банковских карточках. Банки в таких случаях говорят своим клиентам, что код был использован и поэтому это вина клиентов. Но мы доказали, что можно легко воспользоваться карточкой не зная PIN-кода. В квитанции будет указано, что сделка была “подтверждена PIN-кодом”, хотя этого и не было “.
“Это не только провал банковских технологий. Это провал банковского регулирования. Омбудсмены (лица, разбирающее жалобы частных лиц на различные организации) поддерживают банки, и регулирующие органы отказываются что-либо делать. Они просто слишком охотно верят банкам”.
Демонстрации атак на банковские карты были показаны на BBC в программе «Two’s Newsnight» в 22:30 в четверг 11 февраля 2010.
Результаты команды из Кембриджа будут представлены на научной конференции “Симпозиум IEEE (Institute of Electrical and Electronics Engineers) по вопросам безопасности и конфиденциальности” (Окленд, Калифорния, США) в мае 2010 года.
