Шиммер вместо скиммера

[Bura]

Шиммер вместо скиммера

Эксперты утверждают: карты с чипами, работающие по международному работающие EMV (Europay + MasterCard + VISA), защищены не лучше, чем обычные карты с магнитной полосой. Чтобы доказать это, они использовали шиммер – устройство в виде клина, которое помещается в слот для карты в банкомате между чипом и датчиком, а затем считывает информацию с карты – в том числе PIN-код.
Обычный скиммер бесполезен, если карта имеет чип, так как в этом случае у пользователя лишь несколько минут для снятия денег с банкомата. Хакерам этого времени хватает: шиммер передает данные злоумышленникам на смартфон, подключенный к интернету, и они используют информацию в любом другом банкомате.
Схема уже широко используется в ЮАР, особенно там, где много туристов. Распространяется она и в США, другие страны также не застрахованы от шимминга.
Эксперты утверждают, что устранить уязвимость достаточно просто, и производителям банкоматов нужная информация уже передана. Если этого не сделать, хакеры смогут получить буквально непрерывный поток денег из банкоматов.
Расскажите друзьям об опасности – поделитесь новостью в социальных сетях, нажав на одну из кнопок ниже ↓↓↓

https://hi-tech.mail.ru/news/pin-and-chip-hack/

Добавлено спустя 55 секунд:
Кто сталкивался или видел:)? Что такое в виде КЛИНА:)?

[Gn00]

"Назад в будущее" видел, или "терминатор"? Там вроде было про эту инновацию.
Слотов для карты у нас в банкоматах нет, ПИН в чипе не хранится и тд и тп.

[booby]

Кто сталкивался или видел:)? Что такое в виде КЛИНА:)?

Были фотки в инете. Если коротко - на гибкой PCB паяются тонкий микроконтроллер, батарея и двусторонняя контактная площадка. Шиммер устанавливается в тракт ридера, в результате микроконтроллер оказывается "посередине" между чип-станцией и чипом карты и транслирует обмен данными между ними. Таким образом микроконтроллер может снять протокол обмена между картой и банкоматом. Но как реализуется дальнейший сценарий:

шиммер передает данные злоумышленникам на смартфон, подключенный к интернету, и они используют информацию в любом другом банкомате.

- не представляю.

[Ex-OSB2006]

- не представляю.

Данные передаются на шиммер в другом банкомате? Всяко может быть. Но вот как ПИН вводится? Получается участие человека, да ещё и ПИН надо подсмотреть...

[WINChesteR]

Явно, что здесь без человека не обошлось...
Скорее всего Шиммерман))

[m5006]

А как будут засовывать этот микроконтроллер внутрь картридера?

[booby]

Данные передаются на шиммер в другом банкомате?

Теоретически такая модель атаки возможна. Два банкомата, в каждом банкомате шиммер, рядом с банкоматом чел со смартфоном, связь между шиммером и смартфоном через блютуз или вайфай, между смартфонами через инет. На первом банкомате также установлена камера, подсматривающая пинпад и транслирующая в онлайне изображение на смартфон.

Жертва подходит к первому банкомату и вставляет EMV-карту, которая инициирует транзакцию. Начинается обмен данными между шиммерами. Шиммер на втором банкомате также инициирует транзакцию. Мошенники через камеру на первом банкомате подсматривают ПИН и вводят его на пинпаде второго банкомата. Далее второй банкомат генерирует команду GENAC-1, которая транслируется между шиммерами на первый банкомат и подменяет аналогичную команду первого банкомата. Ответ карты в первом банкомате транслируется между шиммерами на второй банкомат и выдается второму банкомату в качестве ответа карты. Дело сделано - диспенсер второго банкомата выдает купюры. Транзакция на первом банкомате завершается сообщением об ошибке.

[mikle]

Каким образом ответ хоста на транзакцию в АТМ-1 попадет на Шимм-1 ? Шимм умеет читать протокол обмена хост-АТМ ?
Каким образом Шимм-2 сможет "что-то" передать в диспенсер-2 или софту АТМ-2 ?
Я думаю тут просто захват данных карты.

Добавлено спустя 2 часа 39 минут 7 секунд:
Попытался таки "прокрутить" версию booby. Не выйдет так:
1. Банкомат не перейдет на стейт ввода пина пока не будет от ридера команд "Card in reader", Card in read position, Card ready successeful (точно не помню названий, ну что-то около этого)
2. Шимм дать такую команду не сможет - он статичен, не отработают все необходимые датчики на ридере и контроллер не сможет понять что карта готова к чтению. И соответственно АТМ-2 не перейдет на стейт ввода пина. Ну и еще чип-станция в ридере не упадет вниз своими контактами на шимм-2.

[Gn00]

Почему статичен - может специальный чел стоять около 2го банкомата с шимером- картой наготове. Но - сложно это, дорого и рискованно.
Если глянуть на первоначальное сообщение, там было слово "слот". Там ридер немоторизованный.

[booby]

Попытался таки "прокрутить" версию booby. Не выйдет так:

Безусловно, возле банкомата-2 стоит мошенник-2. По отмашке от мошенника-1, находящегося возле банкомата-1, он вставляет в ридер банкомата-2 некую карту (болванку). Также роль шиммера-2 может выполнять специальным образом изготовленная карта. Кроме того, мошенник-2 должен будет ввести на пинпаде банкомата-2 ПИН, подсмотренный на банкомате-1.
По сути, организуется информационный мост между картой жертвы в банкомате-1 и банкоматом-2. Для процессинга эмитента транзакция будет выглядеть как обычная транзакция карты жертвы в банкомате-2.

[mikle]

Гемор это. Зачем делать это в онлайне ? ну пусть себе шим-1 собирает данные от карт в память, камера или накладка запоминает пины. Потом сливают все данные по радиоканалу. А обнал можно делать и потом.

[Shoroh]

На днях закончил сайт онлайн торговли для одного заказчика писать. Не скажу какой, чтобы не компрометировать.
Так вот, модуль оплаты писал тоже я. Ну и все транзакции пишу в лог-файл, чтобы ошибки мониторить. И что-то совсем не подумал о том, чтобы вводимые данные карт оттуда скрывать. Они все в логах!

Вот так это выглядит (данные изменены, конечно):

Код: Выделить всё

Parameters: {"utf8"=>"✓", "authenticity_token"=>"dY9VAyw7WVhdq", "card_number"=>"4242424242424242", "date"=>{"card_expires_on_month"=>"3", "card_expires_on_year"=>"2019"}, "card_verification"=>"111", "cardholder_name"=>"Ivan Petrov", "the_same_address"=>"true", "card_country"=>"", "card_zip"=>"", "button"=>"", "cart_id"=>"1"}

Я, конечно, сегодня их все удалю, логирование пофиксю, и все такое, я ведь не мошенник. Но это просто наглядный пример того, как можно написать сайт, типа магазина, и вполне безопасно, без всяких шиммеров-хримеров, собирать карты пользователей. И поди потом найди, кто у тебя и где карту украл.

P.S. Пользуйтесь для онлайн покупок одноразовыми виртуальными картами! )))

[mikle]

И что-то совсем не подумал о том, чтобы вводимые данные карт оттуда скрывать. Они все в логах!

Нуу... этож одно из важных требований PCI DSS - маскирование PAN

P.S. Пользуйтесь для онлайн покупок одноразовыми виртуальными картами! )))

Или отдельной картой, на которую кидать деньги непосредственно перед самой покупкой.
Азы пользования картами...

Здесь то как раз обсуждаем то, что с трудом может избежать карт-холдер.
Кстати, темку бы наверное перенести в раздел Безопасность.

[Maestro]

вполне безопасно, без всяких шиммеров-хримеров, собирать карты пользователей

Я так понимаю с этими данными можно только что нибудь купить, снять наличку не получится же. Или перевести на другую карту можно?

[mikle]

Кэш напрямую - нет. Только retail и перевод. Ну а уж потом через это можно и обналичить

[perpeto36]

Как он выглядеть то может этот шиммер? В немоторизированном ридере, на мой взгляд, очень уж заметен такой девайс будет...гугл по запросу шиммер и подбным косметику показывает

Слотов для карты у нас в банкоматах нет

Встречаются, причем, хоть и не в банкоматах, но не так уж редко: паркоматы, вендинг, кассы в магазинах, кино. Хотя в первых двух вариантах пин вводить не надо...

[booby]

Гемор это. Зачем делать это в онлайне ? ну пусть себе шим-1 собирает данные от карт в память, камера или накладка запоминает пины. Потом сливают все данные по радиоканалу. А обнал можно делать и потом.

Спецификацию EMV разрабатывали не совсем уж лохи. И для защиты от обнала по собранным данным используется Unpredictable Number (UN), генерируемый банкоматом для каждой транзакции и подписываемый картой при помощи криптограммы. Если вы просто в памяти шиммера-1 соберете данные от карт, то использовать их не получится, так как в транзакции по данным из шиммера-1 банкомат сгенерирует другой UN. Если вы для этого UN подставите криптограмму из шиммера-1, то процессинг эмитента обнаружит несоответствие между криптограммой карты и UN банкомата и отклонит авторизацию.

Именно эта защита при помощи UN вынуждает использовать шиммер-2 и строить онлайновый мост между шиммер-1 и шиммер-2.

[mikle]

Логично.

[winner13]

Фото шиммера.

Фото в ридере(Diebold Opteva 520).

Радио модуль:


По другой информации, шиммер клонирует криптограмму чипа, эмулируя чип, после. Пин код при таком раскладе не нужен, так как чип конечная инстанция при транзакции, а не хост.

[perpeto36]

Фото шиммера.

Не очень понятно фото в ридере, давно с оптивами дел не имел) Как он устанавливается? Похоже нужен доступ в сервисную зону, чтобы его поставить, так?
Ну и ридер все же моторизированный получается...