Высокие технологии на службе организованной преступности

Внедрение международными платежными системами в ряде стран программы Chip & PIN (Чип и ПИН) ставило перед собой задачу сделать невозможным карточное мошенничество за счет применения смарт-карт и обязательного подтверждения операций ПИН-кодом. В теории — правильно. На практике получилось иначе. Действительно, обычным скиммером данные со смарт-карты не считаешь — он копирует только магнитную полосу. В результате снизилось количество попыток устанавливать скиммеры на банкоматы, зато теперь мошенники перенесли центр своего внимания на торговые терминалы (POS).

Первый подход — самый примитивный, но одновременно самый эффективный, в нем нет никаких компьютерных технологий. Карманный вор следит за жертвой в очереди на кассе супермаркета и подсматривает ПИН-код при расчете. Увидев ПИН, а в магазинах это проще простого, так как там редко встретишь специальную клавиатуру со шторками, вор «ведет» жертву и похищает саму карту.

Если узнать ПИН-код не удалось, все равно можно воспользоваться реквизитами карты для расчетов в интернете. Наличие чипа для операций CNP (card not present, в переводе с англ. — карта не представлена) не играет никакой роли.

На этом примитивные методы хищений заканчиваются и начинаются технологичные. EMV-технология (от первых букв Europay, Mastercard, Visa) — сама по себе штука сложная. Одно только ее описание занимает четыре тома, а многие программные нюансы громоздки и непонятны даже для разработчиков. В некоторых случаях технология подразумевает различные варианты реализации одних и тех же решений. За время своего развития одни варианты прижились, другие пали под атаками хакеров, а третьи продолжают развиваться.

Приведем такую аналогию. Существует интернет-банкинг, которым можно воспользоваться, введя логин и пароль. Эта пара секретной информации статична, она не меняется. А есть системы, которые, кроме обычной пары — логина и пароля, требуют ввести разовый сессионный ключ, который либо генерируется специальным брелоком у клиента или программой в мобильном телефоне, либо банк сам высылает клиенту такой ключ через СМС-сообщение. Схожий подход и при производстве смарт-карт. Одни использовали статичные ключи для авторизации, другие — динамичные. Практика доказала, что карты со статичной авторизацией возможно клонировать при помощи специальных устройств. Например, несколько лет назад на рынке спутникового телевидения были распространены пиратские карты для просмотра платных телеканалов. По такому же принципу изготавливались и клоны банковских смарт-карт.

Еще одной технологической особенностью смарт-карт является то, в каком виде происходит обмен данными между картой и считывающим устройством — зашифрованном или открытом, и что именно на какой карте открыто. Вот тут-то хакеры имеют простор для действий.

Известно, что смарт-карта может работать в двух режимах: онлайн, когда банкомат запрашивает ее проверку в процессинговом центре и от него ждет подтверждения операций, и офлайн, когда нет связи с процессингом, и микропроцессор карты отвечает на запросы терминала.

Так вот, при офлайн-проверке PIN-кода, если карта применяет незашифрованный протокол обмена данными, сам PIN-код может быть перехвачен шиммером — закладкой, установленной внутрь контактной группы банкомата или торгового терминала (об этом технологическом устройстве «Ракурс» уже писал).

Кроме того, на чипе карты хранится также эквивалент магнитной дорожки, и упомянутый ранее шиммер способен эти данные считать. Да, именно с чипа, не обращаясь к магнитной полосе.

Таким образом, гибридная карта (содержащая чип и магнитную полосу), попав в засаду с шиммером, имеет все шансы отдать злоумышленникам PIN и данные магнитной полосы. Затем киберпреступники изготавливают поддельную карточку, а чип могут использовать любой, причем нерабочий, например с другой карты, специально предварительно выведя его из строя высоким напряжением. Торговый терминал, обслуживая такую карту, попытается в первую очередь провести трансакцию по чипу, но не сможет (микросхема сгоревшая), поэтому переключится в запасной режим — обслуживание по магнитной полосе. Что, собственно, злоумышленникам и нужно. Полоса скопирована верно, PIN имеется. Причем такую карту проще использовать в банкомате, ведь ее достаточно легко изготовить на белом пластике и не заботиться о внешнем виде для торговых сетей.

Карты со статической аутентификацией клонируются полностью. Но в наше время для банковских задач они не применяются, по крайней мере, известными международными платежными системами. Карты с динамичной аутентификацией, когда для каждой трансакции генерируется свой индивидуальный сессионный ключ, пока вроде бы не клонируются. Но то, что уязвимость теоретически возможна, подтверждают появляющиеся технические решения, направленные на ее упреждение. Так, недавно компания NXP Semiconductors N.V. заявила о выводе на рынок смарт-карт с новой функцией PUF, что расшифровывается как «физически неклонируемая функция». К чему, спрашивается, такая функция, если карты и так защищены? То-то же...

И хотя сами карты не клонируют, жульничество с ними имеет место быть. Например, существует возможность обмануть POS-терминалы. Украденная настоящая карта вставляется в специальный ридер с микроконтроллером с одной стороны. С другой — микроконтроллер шнуром подключается к торговому терминалу разъемом, который контактами повторяет смарт-карту. Получается нечто вроде эмулятора банковской карты на основе имеющейся реальной карты. POS-терминал переводится в режим офлайн. Теперь весь обмен с картой происходит через хакерское устройство. На терминале вводится сумма, и он запрашивает PIN-код. Злоумышленник вводит любое число (карта краденная, пароль подсмотреть не смогли). Смарт-карта проверяет внутри себя это число, переданное ей с терминала, и должна вернуть код операции, что-то типа «Верно», «Неверно», «Ошибка» и т. п. Допустим, она выдает «Неверно», но тут вмешивается хакерский контроллер, перехватывающий обмен, и шлет на терминал код «Верно». Все, операция завершена. Терминал получил подтверждение и провел трансакцию по покупке. Никаких следов взлома оборудования не было, документы в норме — на чеке выбилось «Подтверждено ПИН-кодом». Такой фокус, как правило, происходит по сговору мошенников с торговой точкой.

Другой известный факт. Участились случаи, когда хакерские закладки встраивают непосредственно в POS-терминал. Несколько лет назад таможня одной из Скандинавских стран задержала партию фальшивых терминалов, которые были начинены устройствами по перехвату данных между картой и терминалом, снабжались GSM-модулем для пакетной передачи украденной информации. Еще один опасный факт: также несколько лет назад в одной из стран Западной Европы обнаружили POS-терминалы известного производителя с аналогичными хакерскими закладками. Расследование показало, что закладки могли устанавливаться только непосредственно на заводе-производителе. А такое под силу лишь хорошо организованной преступности.