Шиммер вместо скиммера

Эксперты утверждают: карты с чипами, работающие по международному работающие EMV (Europay + MasterCard + VISA), защищены не лучше, чем обычные карты с магнитной полосой. Чтобы доказать это, они использовали шиммер – устройство в виде клина, которое помещается в слот для карты в банкомате между чипом и датчиком, а затем считывает информацию с карты – в том числе PIN-код.
Обычный скиммер бесполезен, если карта имеет чип, так как в этом случае у пользователя лишь несколько минут для снятия денег с банкомата. Хакерам этого времени хватает: шиммер передает данные злоумышленникам на смартфон, подключенный к интернету, и они используют информацию в любом другом банкомате.
Схема уже широко используется в ЮАР, особенно там, где много туристов. Распространяется она и в США, другие страны также не застрахованы от шимминга.
Эксперты утверждают, что устранить уязвимость достаточно просто, и производителям банкоматов нужная информация уже передана. Если этого не сделать, хакеры смогут получить буквально непрерывный поток денег из банкоматов.
Расскажите друзьям об опасности – поделитесь новостью в социальных сетях, нажав на одну из кнопок ниже ↓↓↓

https://hi-tech.mail.ru/news/pin-and-chip-hack/

Добавлено спустя 55 секунд:
Кто сталкивался или видел:)? Что такое в виде КЛИНА:)?

"Назад в будущее" видел, или "терминатор"? Там вроде было про эту инновацию.
Слотов для карты у нас в банкоматах нет, ПИН в чипе не хранится и тд и тп.

Bura писал(а):Кто сталкивался или видел:)? Что такое в виде КЛИНА:)?

Были фотки в инете. Если коротко - на гибкой PCB паяются тонкий микроконтроллер, батарея и двусторонняя контактная площадка. Шиммер устанавливается в тракт ридера, в результате микроконтроллер оказывается "посередине" между чип-станцией и чипом карты и транслирует обмен данными между ними. Таким образом микроконтроллер может снять протокол обмена между картой и банкоматом. Но как реализуется дальнейший сценарий:

шиммер передает данные злоумышленникам на смартфон, подключенный к интернету, и они используют информацию в любом другом банкомате.

- не представляю.

booby писал(а):- не представляю.

Данные передаются на шиммер в другом банкомате? Всяко может быть. Но вот как ПИН вводится? Получается участие человека, да ещё и ПИН надо подсмотреть...

Явно, что здесь без человека не обошлось...
Скорее всего Шиммерман))

А как будут засовывать этот микроконтроллер внутрь картридера?

Ex-OSB2006 писал(а):Данные передаются на шиммер в другом банкомате?

Теоретически такая модель атаки возможна. Два банкомата, в каждом банкомате шиммер, рядом с банкоматом чел со смартфоном, связь между шиммером и смартфоном через блютуз или вайфай, между смартфонами через инет. На первом банкомате также установлена камера, подсматривающая пинпад и транслирующая в онлайне изображение на смартфон.

Жертва подходит к первому банкомату и вставляет EMV-карту, которая инициирует транзакцию. Начинается обмен данными между шиммерами. Шиммер на втором банкомате также инициирует транзакцию. Мошенники через камеру на первом банкомате подсматривают ПИН и вводят его на пинпаде второго банкомата. Далее второй банкомат генерирует команду GENAC-1, которая транслируется между шиммерами на первый банкомат и подменяет аналогичную команду первого банкомата. Ответ карты в первом банкомате транслируется между шиммерами на второй банкомат и выдается второму банкомату в качестве ответа карты. Дело сделано - диспенсер второго банкомата выдает купюры. Транзакция на первом банкомате завершается сообщением об ошибке.

Каким образом ответ хоста на транзакцию в АТМ-1 попадет на Шимм-1 ? Шимм умеет читать протокол обмена хост-АТМ ?
Каким образом Шимм-2 сможет "что-то" передать в диспенсер-2 или софту АТМ-2 ?
Я думаю тут просто захват данных карты.

Добавлено спустя 2 часа 39 минут 7 секунд:
Попытался таки "прокрутить" версию booby. Не выйдет так:
1. Банкомат не перейдет на стейт ввода пина пока не будет от ридера команд "Card in reader", Card in read position, Card ready successeful (точно не помню названий, ну что-то около этого)
2. Шимм дать такую команду не сможет - он статичен, не отработают все необходимые датчики на ридере и контроллер не сможет понять что карта готова к чтению. И соответственно АТМ-2 не перейдет на стейт ввода пина. Ну и еще чип-станция в ридере не упадет вниз своими контактами на шимм-2.

Почему статичен - может специальный чел стоять около 2го банкомата с шимером- картой наготове. Но - сложно это, дорого и рискованно.
Если глянуть на первоначальное сообщение, там было слово "слот". Там ридер немоторизованный.

mikle писал(а):Попытался таки "прокрутить" версию booby. Не выйдет так:

Безусловно, возле банкомата-2 стоит мошенник-2. По отмашке от мошенника-1, находящегося возле банкомата-1, он вставляет в ридер банкомата-2 некую карту (болванку). Также роль шиммера-2 может выполнять специальным образом изготовленная карта. Кроме того, мошенник-2 должен будет ввести на пинпаде банкомата-2 ПИН, подсмотренный на банкомате-1.
По сути, организуется информационный мост между картой жертвы в банкомате-1 и банкоматом-2. Для процессинга эмитента транзакция будет выглядеть как обычная транзакция карты жертвы в банкомате-2.

Гемор это. Зачем делать это в онлайне ? ну пусть себе шим-1 собирает данные от карт в память, камера или накладка запоминает пины. Потом сливают все данные по радиоканалу. А обнал можно делать и потом.

На днях закончил сайт онлайн торговли для одного заказчика писать. Не скажу какой, чтобы не компрометировать.
Так вот, модуль оплаты писал тоже я. Ну и все транзакции пишу в лог-файл, чтобы ошибки мониторить. И что-то совсем не подумал о том, чтобы вводимые данные карт оттуда скрывать. Они все в логах!

Вот так это выглядит (данные изменены, конечно):

Код: Выделить всё

Parameters: {"utf8"=>"✓", "authenticity_token"=>"dY9VAyw7WVhdq", "card_number"=>"4242424242424242", "date"=>{"card_expires_on_month"=>"3", "card_expires_on_year"=>"2019"}, "card_verification"=>"111", "cardholder_name"=>"Ivan Petrov", "the_same_address"=>"true", "card_country"=>"", "card_zip"=>"", "button"=>"", "cart_id"=>"1"}

Я, конечно, сегодня их все удалю, логирование пофиксю, и все такое, я ведь не мошенник. Но это просто наглядный пример того, как можно написать сайт, типа магазина, и вполне безопасно, без всяких шиммеров-хримеров, собирать карты пользователей. И поди потом найди, кто у тебя и где карту украл.

P.S. Пользуйтесь для онлайн покупок одноразовыми виртуальными картами! )))

Shoroh писал(а):И что-то совсем не подумал о том, чтобы вводимые данные карт оттуда скрывать. Они все в логах!

Нуу... этож одно из важных требований PCI DSS - маскирование PAN

Shoroh писал(а):P.S. Пользуйтесь для онлайн покупок одноразовыми виртуальными картами! )))

Или отдельной картой, на которую кидать деньги непосредственно перед самой покупкой.
Азы пользования картами...

Здесь то как раз обсуждаем то, что с трудом может избежать карт-холдер.
Кстати, темку бы наверное перенести в раздел Безопасность.

Shoroh писал(а):вполне безопасно, без всяких шиммеров-хримеров, собирать карты пользователей

Я так понимаю с этими данными можно только что нибудь купить, снять наличку не получится же. Или перевести на другую карту можно?

Кэш напрямую - нет. Только retail и перевод. Ну а уж потом через это можно и обналичить

Как он выглядеть то может этот шиммер? В немоторизированном ридере, на мой взгляд, очень уж заметен такой девайс будет...гугл по запросу шиммер и подбным косметику показывает

Gn00 писал(а):Слотов для карты у нас в банкоматах нет

Встречаются, причем, хоть и не в банкоматах, но не так уж редко: паркоматы, вендинг, кассы в магазинах, кино. Хотя в первых двух вариантах пин вводить не надо...

mikle писал(а):Гемор это. Зачем делать это в онлайне ? ну пусть себе шим-1 собирает данные от карт в память, камера или накладка запоминает пины. Потом сливают все данные по радиоканалу. А обнал можно делать и потом.

Спецификацию EMV разрабатывали не совсем уж лохи. И для защиты от обнала по собранным данным используется Unpredictable Number (UN), генерируемый банкоматом для каждой транзакции и подписываемый картой при помощи криптограммы. Если вы просто в памяти шиммера-1 соберете данные от карт, то использовать их не получится, так как в транзакции по данным из шиммера-1 банкомат сгенерирует другой UN. Если вы для этого UN подставите криптограмму из шиммера-1, то процессинг эмитента обнаружит несоответствие между криптограммой карты и UN банкомата и отклонит авторизацию.

Именно эта защита при помощи UN вынуждает использовать шиммер-2 и строить онлайновый мост между шиммер-1 и шиммер-2.

Логично.

Фото шиммера.

Фото в ридере(Diebold Opteva 520).

Радио модуль:


По другой информации, шиммер клонирует криптограмму чипа, эмулируя чип, после. Пин код при таком раскладе не нужен, так как чип конечная инстанция при транзакции, а не хост.

winner13 писал(а):Фото шиммера.

Не очень понятно фото в ридере, давно с оптивами дел не имел) Как он устанавливается? Похоже нужен доступ в сервисную зону, чтобы его поставить, так?
Ну и ридер все же моторизированный получается...