Szerző: Asztalos Olivér

2017. január 30. 16:21

A chipes bankkártyákat is másolják a tolvajok

Pénzintézetek hanyagsága miatt akaszthatnak le összegeket másolt bankkártyákról a tolvajok, a háttérben a chipes szabvány nem megfelelő implementációja áll.

Alkalmazkodnak a tolvajok, a chipes bankkártyák terjedésével egy régi-új módszer ütötte fel fejét az észak-amerikai kontinensen. A "shimmingen" alapuló megoldással a chipről másolják le a szükséges információkat, amiből később sikerrel klónozható a kártya mágnescsíkja. A lehetőség egyes bankok felelőtlensége miatt állhat fent, bizonyos pénzintézetek nem megfelelően implementálták a chipes rendszert leíró EMV (Europay, MasterCard, Visa) protokollt.

A shimming alapvetően nem új, a módszer alapja, hogy a kártyát fogadó (ATM) résbe a támadó egy vékony áramköri egységet (shim) helyez, ami a bankkártya és a kártyaolvasó közé ékelődik be, így a kommunikáció azon keresztül megy végbe. Ezzel több kártya paraméterei is rögzíthetőek, az áramkört később begyűjtve pedig visszafejthetőek az adatok, amiből elkészíthető a másolat.

A chip teljes egészében nem klónozható, a mágnescsík viszont igen, aminek replikációját tartalmazza a plasztikkártyába ágyazott apró egység. A másolás, illetve a későbbi sikeres tranzakció megelőzésére az EMV szabvány egy extra védelmi vonalat tartalmaz, az abban található, Visa kártyák esetében iCVV (MC: Chip CVC, AMEX: iCSC) képes megakadályozni a tranzakciót, a számsor ugyanis minden olvasásnál dinamikusan változik, emiatt pedig eltért a mágnescsík fix CVV-jétől (Card Verification Value). Az iCVV a szabvány szerint opcionális, annak alkalmazásáról minden esetben a kártyát kibocsátó bank dönt. Ezt kihasználva egyes bankok végül nem implementálták a lehetőséget, ami utat nyitott az illetéktelen tranzakciók előtt.

Színfalak mögött: így épül egy szoftverfejlesztő iroda

Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

Színfalak mögött: így épül egy szoftverfejlesztő iroda Betekintést nyújtunk olyan folyamatokba, melyek sokszor teljesen láthatatlanok a munkavállalók számára.

A shimming népszerűségének egyik oka, hogy nehezen lenyomozható, kikerüli a behatolásjelző eljárásokat, illetve a bank alkalmazottainak bevonása nélkül is kivitelezhető. Utóbbi miatt már arra is volt példa, hogy banki dolgozók próbálkoztak a módszerrel, hisz bennfentes szükségessége nélkül viszonylag könnyen tagadható a bűntett.

A módszer Európában nem új, hisz itt már viszonylag régóta forgalomban vannak a chippel szerelt bankkártyák, így a pénzintézetek kitapasztalták a rendszer sajátosságait. Ezzel szemben az észak-amerikai kontinensen csak az elmúlt pár évben kezdtek terjedni a chipes kártyák, így akárcsak az érintésmentes fizetés esetében, ebben is le van maradva a bank-nagyhatalomnak számító Amerika, ahova csak némi késéssel érkeznek meg a kártyák másolására kidolgozott különféle trükkös módszerek.

A kraftie a HWSW IT-karrierrel foglalkozó, immár sok tízezer IT szakembert mozgató meetup- és podcast-sorozata. Mostantól pedig már egy hírlevél is! Iratkozz fel Te is, ha szeretnél heti egyszer egy rövid, de értékes karrierfókuszú tartalmat kapni.

a címlapról