Le carte scheggiate senza una striscia o con una striscia cancellata possono essere sfruttate da questo attacco?

0

Ho appena letto questo articolo in CNN Money e sto cercando di capire qual è la vulnerabilità:

link

Computer security researchers at the payment technology company NCR demonstrated how credit card thieves can rewrite the magnetic stripe code to make it appear like a chipless card again. This allows them to keep counterfeiting -- just like they did before the nationwide switch to chip cards.

Questo suggerisce che se la striscia non è presente o non è valida, allora l'attacco non è possibile. Ma poi continua a dire ...

This claim of a glaring hole in EMV, the chip-based system, is possible because of the way many retailers are upgrading their payment machines: They're not encrypting the transaction.

Sembra una vulnerabilità completamente diversa. Qualcuno ne sa di più su questa vulnerabilità, e se può influenzare una carta che ha avuto la sua striscia cancellata?

    
posta Robert Fraser 04.08.2016 - 21:35
fonte

1 risposta

1

Non ho visto il discorso, ma basato sulla descrizione e le loro diapositive , sono abbastanza sicuro che tu stia confondendo due attacchi separati.

... credit card thieves can rewrite the magnetic stripe code to make it appear like a chipless card again.

I dati della traccia magnetica su una carta di credito contengono (tra le altre informazioni) un codice di servizio a tre cifre. Un codice di servizio che inizia con un 2 o un 6 indica che si tratta di una chip card, che è il modo in cui il terminale sa di dirti di inserire il chip se ne hai uno. Cambiando la prima cifra in 1 o 5 (e modificando opportunamente la cifra di controllo), possono indurre il terminale a pensare che sia una carta senza chip e che permetta il passaggio del dito.

Questo attacco non funzionerà in circostanze normali, perché l'intero swipe dati viene inviato alla banca per verificare. La modifica del codice di servizio causerà i dati errati della banca e rifiuterà la transazione "sul back-end", come dice l'articolo che hai collegato:

"If the data on the magnetic stripe is altered it might fool the terminal," said U.S. Payments Forum director Randy Vanderhoof. But on the back end, the system would "reject the transaction."

Tuttavia, i commercianti hanno la possibilità di fare "salva e inoltra", ovvero "modalità offline". La diapositiva 24 sottolinea che EMV non riesce a "Impedisci di utilizzare la traccia 2 modificata in modalità offline", il che è molto vero. Ciò accade quando il POS non è in grado di connettersi effettivamente alle reti di carte per ottenere un'autenticazione dalla banca. Piuttosto che rifiutare tutte le transazioni (affari persi!) O richiedere di chiamare la banca per ottenere un codice di autenticazione verbale (tempo perso! Confusione dei clienti!), L'azienda decide di memorizzare tutte le transazioni e inoltrarli più tardi, quando le cose tornano online. Dal momento che non c'è connettività, non c'è modo di sapere se i dati sono validi, se la carta è oltre il suo limite, o qualcun altro degli usuali controlli di sicurezza. Il commerciante accetta il rischio per continuare a fare affari.

Ovviamente, in questa modalità i dati della traccia modificati non verranno catturati fino a quando non sarà troppo tardi e la transazione non riuscirà ad inoltrarsi, bypassando completamente EMV.

... because of the way many retailers are upgrading their payment machines: They're not encrypting the transaction.

Questo è un problema separato, in cui il terminale del commerciante trasmette i dati della carta al POS in testo semplice. Anche se il POS viene immediatamente crittografato (sia per l'archiviazione store-and-forward o per la trasmissione attiva), era ancora in chiaro su una parte della rete, che offre opportunità di compromesso. La sezione delle diapositive che inizia a pagina 13 indirizza uno (di molti) attacchi a questo: gli shim delle reti. Se è possibile inserire il dispositivo o il codice tra il terminale (POI) e l'app di pagamento che lo crittografa, o tra l'app (non crittografica) e il software POS, è possibile leggere i dati mentre passano, in modo non rilevabile.

Il contatore di questo è a pagina 41 e superiore: crittografia punto a punto (P2PE). Con P2PE, il dispositivo crittografa i dati stessi, utilizzando una chiave pre-caricata. Ora, indipendentemente da dove ti intrometti nel processo, non puoi recuperare i dati della carta, perché è crittografato fino alla rete gateway / processore / scheda.

Questo ancora non ti protegge dagli skimmer (pagina 39) o dagli attacchi al software del dispositivo (pagina 40 e precedenti), ma riduce la superficie di attacco.

    
risposta data 05.08.2016 - 05:53
fonte

Leggi altre domande sui tag