PCI DSS PA-DSS Статьи Блог Форум О Сообществе PCI DSS Russia Семинар


PCI DSS
Тэги
инцидент (371)
в мире (318)
исследования (293)
банки (246)
ДБО (240)
malware (176)
сообщество (114)
конференция (109)
статистика (100)
кража (95)
утечка данных (88)
digital security (77)
законодательство (58)
carders (54)
visa (47)
банкоматы (46)
соответствие (40)
mastercard (40)
pci dss (37)
phishing (35)
выполнение требований (31)
стандарт (29)
blackhat (25)
skimming (24)
pci ssc (18)
pci dss russia (18)
аудит (16)
pa-dss (16)
insider (15)
социальная инженерия (15)
dsecrg (14)
биометрия (13)
сертификация (12)
authentication (12)
pin (11)
вебинар (11)
публикации (9)
инфографика (6)
mobile (6)
пентест (5)
СТО БР ИББС (5)
oracle (4)
erp (4)
полезные советы (4)
cash (4)
область аудита (3)
шифрование (3)
обновления (3)
atm (3)
вредные советы (2)
документация (2)
sap (2)
бизнес-приложения (2)
owasp (2)
asv (1)
итоги (1)
мнение (1)
фишинг (1)
банк (1)
исследвания (1)
конференции (1)
Урасльский форум (1)
Самые комментируемые за месяцСамые комментируемые за месяц

Опросы
Где расположена ваша информационная инфраструктура?

В собственной серверной комнате
На арендованной площадке в дата-центре
В арендованной у дата-центра виртуальной среде

 
FAQ:
PCI DSS & PA-DSS


Что такое PCI DSS и PA-DSS? Ответы на главные вопросы.
Путь к соответствию PCI DSS

Выполнение требований стандарта и разработка компенсирующих мер.
Проверка
соответствия


Правила проверки соответствия компании требованиям стандартов и контакты тех, кто проверяет.
Копилка
полезностей


Здесь можно скачать стандарты PCI DSS и PA-DSS на русском языке и другие полезные материалы.
Главная Блог Блог

Запредельное бесстыдство: модный гаджет для кардинга

Известный ИБ-исследователь и хакер Сами Камкар изобрел миниатюрное и недорогое устройство для имитации кредиток. В основу действия Magspoof заложены найденные им закономерности генерации номеров эмитента American Express (AmEx) при перевыпуске карт. Изобретение позволяет осуществлять беспроводные транзакции даже в терминалах с беспроводными каналами связи. Попав в руки реальных киберпреступников, такое открытие Камкара позволит сделать «утечку» карточных данных даже вперед момента физического перевыпуска платежной системой карты пользователя. Несмотря на отправленное AmEx предупреждение, никаких реальных ИБ-мер по ликвидации бреши компания до сих пор на приняла.

Известный своими нашумевшими «хакерскими» изобретениями (червем Samy, «пригнавшем» ему миллионы «френдов» в соцсети MySpace, неудаляемыми куками EverCookies, перехватывающем управление другими беспилотниками квадракоптер и др.), «белый хакер» и ИБ-эксперт Сэми Камкар в результате самостоятельного исследования обнаружил уязвимость в платежной системе AmEx. Ему удалось при последующих перевыпусках кредиток вычислить закономерность генерации карточных номеров, а это, в конечном счете, напрямую угрожает банковским аккаунтам пользователей.

Изучением механизм действия кредитной карты Камкар занялся в августе 2015 года, когда, по почте ему — взамен потерянной карты AmEx — прислали перевыпущенный «пластик». Тогда он сразу сопоставил последние цифры номеров своих трех предыдущих карт, которые были записаны у него в файл, с полученным и «посеянным» номером. Что-то подсказало ему, что генерация номеров подчинена определенной системе. Для выяснения этой закономерности энтузиаст-исследователь обратился к своим Facebook-«френдам» с просьбой предоставить ему для «вычисления» закономерности и экспериментов последние цифры номеров их действующих и уже отмененных карт AmEx. В ответ на его просьбу десять человек из соцсети не побоялось прислать свои цифры. В общей сложности было проанализированно 40 карт.

В итоге, Камкар нашел алгоритм генерации. И эксперименты с картами «френдов» подтвердили, что закономерность определена верно. По конечным цифрам удавалось «угадывать» весь номер, а также «предсказывать» полный номер для будущих карт AmEx, если бы по заявлению держателя готовился новый выпуск «пластика». О своем открытии Камкар еще в августе уведомил эмитента. Однако в AmEx никаких мер предпринимать не стали, видимо, посчитав проблему недостаточно серьезной и понадеявшись на свою защиту в виде установленных в системе мощных антифрод-программ. Безуспешно подождав 3 месяца от AmEx каких-то ответных действий по ликвидации уязвимости, эксперт решил на практике продемонстрировать угрозу обнаруженной уязвимости.

Прежде всего, Камкар, чтобы автоматизировать процедуру генерации номеров для новых карт, создал специальный гаджет, которому дал название — MagSpoof. Примечательно, что все исходные данные и инструкции об этом устройстве размером с монету хакер публиковал в своем блоге. Единственно, о чем не сообщалось в его сообщениях, так это о ключевом звене — найденной закономерности при генерации номеров, а без этого устройство бесполезно. На создание MagSpoof изобретателю потребовалось чуть более 2 часов и $10 на покупку комплектующих. Конструкция гаджета состоит из нескольких агрегированных компонентов: базовой платы Arduino, микроконтроллера Atmel ATtiny85, драйвера L293D H-Bridge, батареек, светодиода, конденсатора, резистора, медной проволоки и кнопок.

Однако, несмотря на малые размеры, устройство имеет весьма впечатляющий функционал. Это и — хранилище для копий магнитных полос своих банковских карт, и канал радиообмена информации с любыми считывателями магнитной полосы (не требуется NFC/RFID), и блокировщик защиты Chip-and-PIN (исходный код не опубликован), и генерирующая по предыдущему номеру «пластика» система новых номеров карт (исходный код не опубликован), и единовременный процесс взаимодействия с тремя треками на магнитной полосе при поддержке Track 1 и Track 2.

Изучая механизм работы самой карты, Камкар выяснил, что в информации магнитной полосы содержится «сервисный код», который в процессе прокатывания карты в PoS-терминале подтверждает, что карта чипованная и что ее нужно вставлять в ридер. Этот факт натолкнул исследователя на мысль, что, если модифицировать такой сервисный код или клонировать карту, изменив его, то можно «выдать» EMV-карту за обычную карту с магнитной полосой, функционирующей на тех же принципах, что и эмитенты банковских карт. Во время работы гаджет излучает сильный электромагнитный сигнал, с помощью которого происходит эмуляция того, что генерируется при использовании физической кредитной карты. Так что атакуемая система не замечает подмены…

Единственное, что не дает проводить полноценные атаки карточные аккаунты пользователей, как отметил «белый хакер», так это — невозможность генерировать четырехзначный CVV-номер. Но для хакеров такая проблема — при целенаправленной роботе «на результат» — вполне по зубам... В размещенном Камкаром на Youtube видеоролике, демонстрируется, как терминалы оплаты действительно взаимодействуют с Magspoof вместо реальной банковской карты и подтверждают транзакции. «Вы можете поднести устройство к любому обычному терминалу оплаты, и он примет Magspoof за настоящую банковскую карту», - гарантирует Камкар.

Источник: ib-bank.ru

исследования | carders | в мире
КомментарииКомментарии

Добавьте комментарий!
Представьтесь, пожалуйста
Укажите адрес вашей почты
Опубликован не будет
Следить за дискуссией по почте
 











Партнеры