Carte di pagamento momentaneamente non criptate

0

Carte di pagamento temporaneamente non crittografate

Ho letto dei cyber-attacchi relativi ai dati di elaborazione dei pagamenti momentaneamente non crittografati nel punto dei dispositivi di vendita. Tecnicamente, com'è possibile?

È quando il titolare della carta immette una carta di pagamento EMV (CHIP-e-PIN) per effettuare un pagamento, durante l'immissione del PIN, i dati rimangono non criptati e vengono scremati? In caso contrario, cos'altro potrebbe accadere in un ambiente di "crittografia end-to-end"? O questo non si verifica per le carte EMV e solo per le carte con banda magnetica?

In entrambi i casi, credo che l'utilità di tali dati sia limitata solo per le transazioni online, come per il prelievo di contanti o per utilizzare la carta clonata anche l'hacker avrebbe bisogno del PIN.

    
posta max 03.03.2016 - 14:38
fonte

1 risposta

1

Senza un riferimento è difficile rispondere a come l'attacco è possibile nei confronti dell'articolo che hai letto. Tuttavia ho visto diversi attacchi simili che coinvolgono le strisce magnetiche e i terminali.

I dati della carta di credito sulla striscia magnetica non sono crittografati. La crittografia viene applicata dal POS quando comunica con la banca. I dati all'interno del POS, che include i dati della traccia e il pin per le carte di debito, spesso non sono crittografati. Pertanto, se si compromette il terminale POS, è possibile estrarre i dati di scorrimento della carta di credito e persino il numero del pin dalle carte di debito.

L'intercettazione potrebbe verificarsi con firmware compromesso, software o dispositivi fisici (skimmers e amici) Ad esempio le violazioni vedono link . Krebs ha MOLTE altre violazioni registrate.

Tuttavia questi attacchi non funzionano (in teoria) sulle carte EMV. Queste carte hanno crittografia da carta a banca, IE end to end. L'autenticazione passa attraverso il chip (vedi Perché i chip sono più sicuri di strisce magnetiche? ). Tutto ciò che l'attaccante ottiene dal compromettere il terminale è il pin.

    
risposta data 03.03.2016 - 20:44
fonte

Leggi altre domande sui tag