Шиммер вместо скиммера

Обсуждение условий труда, мотивации, работодателей, перспектив этого рынка и т.д.

Шиммер вместо скиммера

Непрочитанное сообщение Bura » 16 ноя 2016, 03:13

Шиммер вместо скиммера

Эксперты утверждают: карты с чипами, работающие по международному работающие EMV (Europay + MasterCard + VISA), защищены не лучше, чем обычные карты с магнитной полосой. Чтобы доказать это, они использовали шиммер – устройство в виде клина, которое помещается в слот для карты в банкомате между чипом и датчиком, а затем считывает информацию с карты – в том числе PIN-код.
Обычный скиммер бесполезен, если карта имеет чип, так как в этом случае у пользователя лишь несколько минут для снятия денег с банкомата. Хакерам этого времени хватает: шиммер передает данные злоумышленникам на смартфон, подключенный к интернету, и они используют информацию в любом другом банкомате.
Схема уже широко используется в ЮАР, особенно там, где много туристов. Распространяется она и в США, другие страны также не застрахованы от шимминга.
Эксперты утверждают, что устранить уязвимость достаточно просто, и производителям банкоматов нужная информация уже передана. Если этого не сделать, хакеры смогут получить буквально непрерывный поток денег из банкоматов.
Расскажите друзьям об опасности – поделитесь новостью в социальных сетях, нажав на одну из кнопок ниже ↓↓↓

https://hi-tech.mail.ru/news/pin-and-chip-hack/

Добавлено спустя 55 секунд:
Кто сталкивался или видел:)? Что такое в виде КЛИНА:)?
Беда приходит после инкассаторов :))
Перехожу в разряд невидимок, скоро забанят :)) НАВСЕГДА
Bura
Ведущий специалист
 
Сообщения: 878
Зарегистрирован: 05 фев 2011, 18:40
Откуда: Питер
Авто: citrien c4 cedan

Re: Шиммер вместо скиммера

Непрочитанное сообщение Gn00 » 16 ноя 2016, 04:31

"Назад в будущее" видел, или "терминатор"? Там вроде было про эту инновацию.
Слотов для карты у нас в банкоматах нет, ПИН в чипе не хранится и тд и тп.
Gn00
Специалист
 
Сообщения: 282
Зарегистрирован: 19 авг 2014, 16:41

Re: Шиммер вместо скиммера

Непрочитанное сообщение booby » 16 ноя 2016, 05:53

Bura писал(а):Кто сталкивался или видел:)? Что такое в виде КЛИНА:)?

Были фотки в инете. Если коротко - на гибкой PCB паяются тонкий микроконтроллер, батарея и двусторонняя контактная площадка. Шиммер устанавливается в тракт ридера, в результате микроконтроллер оказывается "посередине" между чип-станцией и чипом карты и транслирует обмен данными между ними. Таким образом микроконтроллер может снять протокол обмена между картой и банкоматом. Но как реализуется дальнейший сценарий:
шиммер передает данные злоумышленникам на смартфон, подключенный к интернету, и они используют информацию в любом другом банкомате.
- не представляю.
booby
Специалист
 
Сообщения: 268
Зарегистрирован: 21 янв 2013, 06:14

Re: Шиммер вместо скиммера

Непрочитанное сообщение Ex-OSB2006 » 16 ноя 2016, 19:45

booby писал(а):- не представляю.

Данные передаются на шиммер в другом банкомате? Всяко может быть. Но вот как ПИН вводится? Получается участие человека, да ещё и ПИН надо подсмотреть...
Аватара пользователя
Ex-OSB2006
Нач. отдела
 
Сообщения: 1071
Зарегистрирован: 23 авг 2011, 16:39

Re: Шиммер вместо скиммера

Непрочитанное сообщение WINChesteR » 16 ноя 2016, 20:42

Явно, что здесь без человека не обошлось...
Скорее всего Шиммерман))
WINChesteR
Местный
 
Сообщения: 51
Зарегистрирован: 09 дек 2010, 23:14
Авто: Logan

Re: Шиммер вместо скиммера

Непрочитанное сообщение m5006 » 16 ноя 2016, 21:54

А как будут засовывать этот микроконтроллер внутрь картридера?
m5006
Новичок
 
Сообщения: 19
Зарегистрирован: 19 авг 2014, 03:03
Авто: Тазик

Re: Шиммер вместо скиммера

Непрочитанное сообщение booby » 17 ноя 2016, 01:36

Ex-OSB2006 писал(а):Данные передаются на шиммер в другом банкомате?

Теоретически такая модель атаки возможна. Два банкомата, в каждом банкомате шиммер, рядом с банкоматом чел со смартфоном, связь между шиммером и смартфоном через блютуз или вайфай, между смартфонами через инет. На первом банкомате также установлена камера, подсматривающая пинпад и транслирующая в онлайне изображение на смартфон.

Жертва подходит к первому банкомату и вставляет EMV-карту, которая инициирует транзакцию. Начинается обмен данными между шиммерами. Шиммер на втором банкомате также инициирует транзакцию. Мошенники через камеру на первом банкомате подсматривают ПИН и вводят его на пинпаде второго банкомата. Далее второй банкомат генерирует команду GENAC-1, которая транслируется между шиммерами на первый банкомат и подменяет аналогичную команду первого банкомата. Ответ карты в первом банкомате транслируется между шиммерами на второй банкомат и выдается второму банкомату в качестве ответа карты. Дело сделано - диспенсер второго банкомата выдает купюры. Транзакция на первом банкомате завершается сообщением об ошибке.
booby
Специалист
 
Сообщения: 268
Зарегистрирован: 21 янв 2013, 06:14

Re: Шиммер вместо скиммера

Непрочитанное сообщение mikle » 17 ноя 2016, 21:35

Каким образом ответ хоста на транзакцию в АТМ-1 попадет на Шимм-1 ? Шимм умеет читать протокол обмена хост-АТМ ?
Каким образом Шимм-2 сможет "что-то" передать в диспенсер-2 или софту АТМ-2 ?
Я думаю тут просто захват данных карты.

Добавлено спустя 2 часа 39 минут 7 секунд:
Попытался таки "прокрутить" версию booby. Не выйдет так:
1. Банкомат не перейдет на стейт ввода пина пока не будет от ридера команд "Card in reader", Card in read position, Card ready successeful (точно не помню названий, ну что-то около этого)
2. Шимм дать такую команду не сможет - он статичен, не отработают все необходимые датчики на ридере и контроллер не сможет понять что карта готова к чтению. И соответственно АТМ-2 не перейдет на стейт ввода пина. Ну и еще чип-станция в ридере не упадет вниз своими контактами на шимм-2.
mikle
Специалист
 
Сообщения: 451
Зарегистрирован: 09 июн 2010, 14:12
Откуда: Из подмосковных лесов
Авто: японский 4х4

Re: Шиммер вместо скиммера

Непрочитанное сообщение Gn00 » 18 ноя 2016, 02:19

Почему статичен - может специальный чел стоять около 2го банкомата с шимером- картой наготове. Но - сложно это, дорого и рискованно.
Если глянуть на первоначальное сообщение, там было слово "слот". Там ридер немоторизованный.
Gn00
Специалист
 
Сообщения: 282
Зарегистрирован: 19 авг 2014, 16:41

Re: Шиммер вместо скиммера

Непрочитанное сообщение booby » 18 ноя 2016, 03:46

mikle писал(а):Попытался таки "прокрутить" версию booby. Не выйдет так:

Безусловно, возле банкомата-2 стоит мошенник-2. По отмашке от мошенника-1, находящегося возле банкомата-1, он вставляет в ридер банкомата-2 некую карту (болванку). Также роль шиммера-2 может выполнять специальным образом изготовленная карта. Кроме того, мошенник-2 должен будет ввести на пинпаде банкомата-2 ПИН, подсмотренный на банкомате-1.
По сути, организуется информационный мост между картой жертвы в банкомате-1 и банкоматом-2. Для процессинга эмитента транзакция будет выглядеть как обычная транзакция карты жертвы в банкомате-2.
booby
Специалист
 
Сообщения: 268
Зарегистрирован: 21 янв 2013, 06:14

Re: Шиммер вместо скиммера

Непрочитанное сообщение mikle » 18 ноя 2016, 05:24

Гемор это. Зачем делать это в онлайне ? ну пусть себе шим-1 собирает данные от карт в память, камера или накладка запоминает пины. Потом сливают все данные по радиоканалу. А обнал можно делать и потом.
mikle
Специалист
 
Сообщения: 451
Зарегистрирован: 09 июн 2010, 14:12
Откуда: Из подмосковных лесов
Авто: японский 4х4

Re: Шиммер вместо скиммера

Непрочитанное сообщение Shoroh » 18 ноя 2016, 19:31

На днях закончил сайт онлайн торговли для одного заказчика писать. Не скажу какой, чтобы не компрометировать.
Так вот, модуль оплаты писал тоже я. Ну и все транзакции пишу в лог-файл, чтобы ошибки мониторить. И что-то совсем не подумал о том, чтобы вводимые данные карт оттуда скрывать. Они все в логах!

Вот так это выглядит (данные изменены, конечно):

Код: Выделить всё
Parameters: {"utf8"=>"✓", "authenticity_token"=>"dY9VAyw7WVhdq", "card_number"=>"4242424242424242", "date"=>{"card_expires_on_month"=>"3", "card_expires_on_year"=>"2019"}, "card_verification"=>"111", "cardholder_name"=>"Ivan Petrov", "the_same_address"=>"true", "card_country"=>"", "card_zip"=>"", "button"=>"", "cart_id"=>"1"}


Я, конечно, сегодня их все удалю, логирование пофиксю, и все такое, я ведь не мошенник. Но это просто наглядный пример того, как можно написать сайт, типа магазина, и вполне безопасно, без всяких шиммеров-хримеров, собирать карты пользователей. И поди потом найди, кто у тебя и где карту украл.

P.S. Пользуйтесь для онлайн покупок одноразовыми виртуальными картами! )))
Аватара пользователя
Shoroh
Администратор
 
Сообщения: 5351
Зарегистрирован: 12 май 2010, 18:55

Re: Шиммер вместо скиммера

Непрочитанное сообщение mikle » 18 ноя 2016, 20:07

Shoroh писал(а):И что-то совсем не подумал о том, чтобы вводимые данные карт оттуда скрывать. Они все в логах!

Нуу... этож одно из важных требований PCI DSS - маскирование PAN :-)

Shoroh писал(а):P.S. Пользуйтесь для онлайн покупок одноразовыми виртуальными картами! )))

Или отдельной картой, на которую кидать деньги непосредственно перед самой покупкой.
Азы пользования картами...

Здесь то как раз обсуждаем то, что с трудом может избежать карт-холдер.
Кстати, темку бы наверное перенести в раздел Безопасность.
mikle
Специалист
 
Сообщения: 451
Зарегистрирован: 09 июн 2010, 14:12
Откуда: Из подмосковных лесов
Авто: японский 4х4

Re: Шиммер вместо скиммера

Непрочитанное сообщение Maestro » 18 ноя 2016, 20:12

Shoroh писал(а):вполне безопасно, без всяких шиммеров-хримеров, собирать карты пользователей

Я так понимаю с этими данными можно только что нибудь купить, снять наличку не получится же. Или перевести на другую карту можно?
Аватара пользователя
Maestro
Специалист
 
Сообщения: 436
Зарегистрирован: 04 окт 2011, 17:02
Авто: Hyundai Solaris

Re: Шиммер вместо скиммера

Непрочитанное сообщение mikle » 18 ноя 2016, 20:41

Кэш напрямую - нет. Только retail и перевод. Ну а уж потом через это можно и обналичить
mikle
Специалист
 
Сообщения: 451
Зарегистрирован: 09 июн 2010, 14:12
Откуда: Из подмосковных лесов
Авто: японский 4х4

Re: Шиммер вместо скиммера

Непрочитанное сообщение perpeto36 » 18 ноя 2016, 21:48

Как он выглядеть то может этот шиммер? В немоторизированном ридере, на мой взгляд, очень уж заметен такой девайс будет...гугл по запросу шиммер и подбным косметику показывает fp:|
Gn00 писал(а):Слотов для карты у нас в банкоматах нет

Встречаются, причем, хоть и не в банкоматах, но не так уж редко: паркоматы, вендинг, кассы в магазинах, кино. Хотя в первых двух вариантах пин вводить не надо...
perpeto36
Новичок
 
Сообщения: 23
Зарегистрирован: 25 янв 2012, 00:18
Авто: saab

Re: Шиммер вместо скиммера

Непрочитанное сообщение booby » 18 ноя 2016, 22:27

mikle писал(а):Гемор это. Зачем делать это в онлайне ? ну пусть себе шим-1 собирает данные от карт в память, камера или накладка запоминает пины. Потом сливают все данные по радиоканалу. А обнал можно делать и потом.

Спецификацию EMV разрабатывали не совсем уж лохи. И для защиты от обнала по собранным данным используется Unpredictable Number (UN), генерируемый банкоматом для каждой транзакции и подписываемый картой при помощи криптограммы. Если вы просто в памяти шиммера-1 соберете данные от карт, то использовать их не получится, так как в транзакции по данным из шиммера-1 банкомат сгенерирует другой UN. Если вы для этого UN подставите криптограмму из шиммера-1, то процессинг эмитента обнаружит несоответствие между криптограммой карты и UN банкомата и отклонит авторизацию.

Именно эта защита при помощи UN вынуждает использовать шиммер-2 и строить онлайновый мост между шиммер-1 и шиммер-2.
booby
Специалист
 
Сообщения: 268
Зарегистрирован: 21 янв 2013, 06:14

Re: Шиммер вместо скиммера

Непрочитанное сообщение mikle » 18 ноя 2016, 23:11

Логично.
mikle
Специалист
 
Сообщения: 451
Зарегистрирован: 09 июн 2010, 14:12
Откуда: Из подмосковных лесов
Авто: японский 4х4

Re: Шиммер вместо скиммера

Непрочитанное сообщение winner13 » 18 ноя 2016, 23:52

Фото шиммера.
Изображение
Фото в ридере(Diebold Opteva 520).
Изображение
Радио модуль:
Изображение

По другой информации, шиммер клонирует криптограмму чипа, эмулируя чип, после. Пин код при таком раскладе не нужен, так как чип конечная инстанция при транзакции, а не хост.
Верно и правильно то, во что мы верим.
Аватара пользователя
winner13
Местный
 
Сообщения: 78
Зарегистрирован: 13 сен 2013, 03:09
Авто: Mercedec

Re: Шиммер вместо скиммера

Непрочитанное сообщение perpeto36 » 19 ноя 2016, 00:04

winner13 писал(а):Фото шиммера.

Не очень понятно фото в ридере, давно с оптивами дел не имел) Как он устанавливается? Похоже нужен доступ в сервисную зону, чтобы его поставить, так?
Ну и ридер все же моторизированный получается...
perpeto36
Новичок
 
Сообщения: 23
Зарегистрирован: 25 янв 2012, 00:18
Авто: saab

След.

Сообщений: 34 • Страница 1 из 21, 2

Вернуться в Наша работа



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2