Эксперты Rapid7 в ходе конференции Black Hat показали, что банковские карты с чипами, которые работают по международному стандарту EMV, немного безопаснее обычных карт с магнитной полосой. Вместо уже привычных скиммеров эксперты создали шиммер. Установка этого миниатюрного устройства на банкомат приводит к тому, что машина начинает выплевывать деньги.
Система «chip and pin» давно применяется в Европе, однако в США EMV-карты были распространены мало. Специалисты считают, что сейчас, когда это меняется, американские пользователи снова станут целью для кардеров.
Отметим, что представители Rapid7 предоставили очень мало подробностей атаки, так бояться, что злоумышленники могут использовать данную технику. Эксперты сообщили, что перед таким вектором атак уязвимы большинство производителей банкоматов и большинство банков, но не стали называть конкретных названий. Дело в том, что, по данным Rapid7, найденную проблему легко устранить, и исследователи дали компаниям возможность спокойно исправить баг.
Показанный пример атаки делится на две стадии. В отличие от карт с магнитной полосой, обычный скиммер не поможет против карты с чипом, так как система chip and pin предлагает лишь небольшое временное окно для осуществления транзакций. Специалисты Rapid7 создали миниатюрный девайс, который назвали шиммер. Устройство, по аналогии со скиммером, помещается в слот для карт подобно клину. Таким образом шиммер оказывается между чипом карты и датчиком банкомата.
Установленный в банкомате шиммер считывает с чипа данные, в том числе информацию о введенном жертвой PIN-коде, и отправляет злоумышленникам. Здесь начинается вторая стадия атаки, когда мошенники, используя подключенный к интернету смартфон, скачиваю данные похищенной карты, а затем используют их в любом банкомате.По сути, после удачно проведенной атаки банкомат можно заставить снимать деньги практически без остановки. Злоумышленники ограничены только временным лимитом, который для каждой карты составляет пару минут.
Система «chip and pin» давно применяется в Европе, однако в США EMV-карты были распространены мало. Специалисты считают, что сейчас, когда это меняется, американские пользователи снова станут целью для кардеров.
Отметим, что представители Rapid7 предоставили очень мало подробностей атаки, так бояться, что злоумышленники могут использовать данную технику. Эксперты сообщили, что перед таким вектором атак уязвимы большинство производителей банкоматов и большинство банков, но не стали называть конкретных названий. Дело в том, что, по данным Rapid7, найденную проблему легко устранить, и исследователи дали компаниям возможность спокойно исправить баг.
Показанный пример атаки делится на две стадии. В отличие от карт с магнитной полосой, обычный скиммер не поможет против карты с чипом, так как система chip and pin предлагает лишь небольшое временное окно для осуществления транзакций. Специалисты Rapid7 создали миниатюрный девайс, который назвали шиммер. Устройство, по аналогии со скиммером, помещается в слот для карт подобно клину. Таким образом шиммер оказывается между чипом карты и датчиком банкомата.
Установленный в банкомате шиммер считывает с чипа данные, в том числе информацию о введенном жертвой PIN-коде, и отправляет злоумышленникам. Здесь начинается вторая стадия атаки, когда мошенники, используя подключенный к интернету смартфон, скачиваю данные похищенной карты, а затем используют их в любом банкомате.По сути, после удачно проведенной атаки банкомат можно заставить снимать деньги практически без остановки. Злоумышленники ограничены только временным лимитом, который для каждой карты составляет пару минут.
