Quali informazioni questo "skimmer" del chip EMV stava effettivamente acquisendo?

3

Leggendo un blog sulla sicurezza ho trovato un articolo su un Skimmer EMV progettato per essere inserito nello slot per chip card dell'ATM.

Quali informazioni è stata effettivamente acquisita da questo dispositivo? Per quanto ne so non ci sono sicuramente abbastanza informazioni su una scheda EMV per eseguire una transazione offline (il CVV2 utilizzato dalle transazioni online non è nemmeno noto dal chip), e le carte EMV non possono essere copiate quindi non è possibile per loro anche per clonare una carta.

Qualche idea?

    
posta André Borie 08.06.2017 - 17:11
fonte

3 risposte

4

L'articolo stesso affronta questo:

Banks can run a simple check to see if any card inserted into an ATM is a counterfeit magnetic stripe card that is encoded with data stolen from a chip card. But there may be some instances in which banks are doing this checking incorrectly or not at all during some periods, and experts say the thieves have figured out which ATMs will accept magnetic stripe cards that are cloned from chip cards.

“This suggests to me that the thieves plan to target an issuer where they know the CVV is not going to be checked,” said Charlie Harrow, solutions manager for global security at NCR, an ATM manufacturer.

La mia ipotesi è che catturino in modo specifico tag 57 (dati di Track 2 equivalenti) . Come dice l'articolo, questo non è lo stesso dato che è codificato nel magstripe, ma ha lo stesso numero di account. Se sono riusciti a capire quando un bancomat sta operando in modalità offline (dove non si verifica immediatamente con la banca), questa informazione è sufficiente per effettuare un prelievo, anche se verrà rilevata non appena lo sportello automatico verrà attivato torna online e lo segnala.

    
risposta data 09.06.2017 - 14:07
fonte
0

È molto simile al dispositivo "man in the middle". Probabilmente hanno provato a copiare i dati dalla vecchia scheda SDA o si sono basati su alcuni errori della banca che conoscevano. D'altra parte, è possibile un "attacco pre-play" più complesso.

link

    
risposta data 09.06.2017 - 11:33
fonte
-2

Uno dei metodi di verifica supportati dalle chip card è "Offline with PIN", in cui il PIN viene trasmesso alla carta, potenzialmente in testo semplice. Pertanto, uno skimmer come questo non solo può leggere i dati del titolare della carta dal chip, ma può anche intercettare il PIN in quella particolare situazione.

Questo è abbastanza dati per codificare una nuova scheda magstripe senza il CCV di Magstripe, e per qualche motivo alcuni emittenti non controllano questo CCV. Dopo aver acquisito il PIN dell'utente, puoi utilizzare questa nuova carta e il PIN dell'utente in un terminale che non supporta l'autenticazione del chip e che non controlla il CCV di Magstripe.

Qual è il punto? Con le vecchie schede magnetiche il PIN non viene mai trasmesso alla carta, quindi sfiorare il PIN di un utente richiede uno skimmer a banda magnetica oltre a una telecamera nascosta per guardare gli utenti inserire i loro numeri PIN. Questo in realtà sembra un modo più semplice per scremare i numeri PIN rispetto all'approccio precedente.

link

link

Riferimenti leggermente più tecnici: (CTRL-F per "PIN offline")

link

link

    
risposta data 08.06.2017 - 17:59
fonte

Leggi altre domande sui tag