Исследователи Университета Кембриджа предупреждают, что мошенники могут украсть данные карт с Chip and PIN при совершении покупок в магазинах
Исследователи Университета Кембриджа предупреждают, что мошенники могут украсть данные карт с Chip and PIN при совершении покупок в магазинах.
Специалисты в сфере безопасности С. Драймер и С. Мердок из Компьютерной Лаборатории Университета Кембриджа продемонстрировали в программе BBC Watchdog, как можно подделать терминал приемки карт Chip and PIN для сбора информации о карте клиента с помощью так называемой «relay attack» (атаки замены).
Специально для передачи исследователи показали, как им удалось получить данные владельца карты во время транзакции в книжном магазине и передать их сообщнику с помощью беспроводного устройства.
Атака основывается в удалении и замене настоящего терминала Chip and PIN поддельным устройством – которое и выдается ничего не подозревающему покупателю. Поддельный терминал получает данные из настоящей карты, а затем они копируются на пустую карту, вставленную в настоящий терминал магазина. Поддельный терминал также регистрирует и PIN-код.
Так как платеж принят, покупателю все кажется обычным. Клонированную же карту затем можно использовать для совершения мошеннических покупок.
Кембриджская команда заявляет: «Ранее банки объявили, что в случае мошеннической транзакции по картам Chip and PIN потребитель проявляет невнимательность по отношению к своей карте, таким образом, он и должен нести ответственность за это. Эта работа показывает, что, несмотря на всю возможную осторожность со стороны покупателя при использовании карты, он все же может стать жертвой мошенничества».
Драймер и Мердок утверждают, что этот тип атаки считался слишком сложным и дорогим в использовании, но они показали, что его можно провести менее чем за 250 фунтов стерлингов.
Мердок отметил: «Мы успешно продемонстрировали возможность проведения атаки между двумя магазинами на одной и той же улице с помощью беспроводного соединения, но наши измерения показывают, что соединение будет работать с помощью мобильного телефона одинаково хорошо и на другом конце света».
Исследователи считают, что преступники вряд ли сейчас применяют эту методику, так как существуют менее сложные типы атак, которым подвержена технология Chip & PIN, но при усилении защитных мер «атака замены» может стать «существенным источником мошенничества».
С. Куинн, представитель британской платежной ассоциации Apacs, сообщила BBC, что этот тип мошенничества является затруднительным, так как он требует одновременной совместной работы сообщников внутри магазина и вне его.
В начале этого месяца Драймеру и Мердоку удалось взломать так называемый устойчивый к атакам терминал Chip and PIN и заставить его играть в Тетрис.