Немецкие ИБ-специалисты Карстен Нол (Karsten Nohl) и Фабиан Браунлейн (Fabian Braunlein) обнаружили новую уязвимость в расположенных в Германии платежных терминалах, позволяющую злоумышленникам похитить PIN-код и информацию магнитных полос кредитных и дебетовых карт. Эксперты протестировали платежные терминалы от пяти крупных операторов платежных систем. Устройства использовали две сети с одинаковым программным обеспечением.
В рамках доклада на Всемирном конгрессе хакеров Нол и Браунлейн намерены продемонстрировать примеры нескольких атак с эксплуатацией ошибок в платежных протоколах ZVT и Poseidon, используемых терминалами. По словам Нола, протокол ZVT используют порядка 90% устройств, поэтому уязвимость затрагивает подавляющее большинство терминалов.
Проэксплуатировав ошибки в протоколе ZVT атакующий может получить PIN-код кредитной карты жертвы, а также всю информацию, содержащуюся на магнитной ленте. Как оказалось, любой платежный терминал, предоставленный операторами, использует для подписи сообщений один и тот же ключ.
Атака происходит следующим образом: злоумышленник отправляет на терминал имитирующее легитимное сообщение с просьбой ввести PIN-код, ждет, пока жертва не начнет транзакцию, а затем отправляет вредоносные команды. В результате, атакующий становится обладателем PIN-кода и данных магнитной полосы кредитной карты.
“Раньше мошенники использовали уязвимости в программном обеспечении. Для устранения проблем требовалось просто загрузить обновление. Мы взламываем сам протокол, то есть устройство работает в нормальном режиме, но при этом остается уязвимым. В результате данную проблему нельзя решить с помощью патча – придется перенастраивать всю систему”, – пояснил Нол.
“Те, кто несет ответственность за пробелы в безопасности, в том числе банки, признают существование проблемы, однако принимать меры для ее решения не спешат. Они говорят, что подобных случаев мошенничества пока не зафиксировано – но ведь это лишь вопрос времени! Своим бездействием они только усугубляют ситуацию”, – подчеркнул специалист. (Новости/NovostIT)