Близкие контакты. Атакуем бесконтактные карты

Близкие контакты. Атакуем бесконтактные карты 3

Бес­контак­тные бан­ков­ские кар­ты очень удоб­ны: при­ложил кар­точку к тер­миналу, и через пару секунд в кар­мане звяк­нул телефон — покуп­ка опла­чена. Но это удобс­тво име­ет и обратную сто­рону: зло­умыш­ленни­ки могут украсть день­ги у дер­жателей такого «плас­тика». Давай погово­рим о спо­собах взло­ма бан­ков­ских карт, исполь­зующих тех­нологию NFC.

Тех­нологи­чес­ки пла­тежи NFC явля­ются про­дол­жени­ем стан­дарта EMV, поэто­му все про­исхо­див­шие «в дикой при­роде» ата­ки уже были извес­тны иссле­дова­телям. Ког­да я занял­ся темой бес­контак­тных пла­тежей, мне все же уда­лось най­ти нес­коль­ко новых инте­рес­ных слу­чаев, но подоб­ные ата­ки все так же фокуси­руют­ся на обратной сов­мести­мос­ти и дру­гих недос­татках основных механиз­мов EMV — авто­риза­ции, аутен­тифика­ции, верифи­кации.

Про­ведя тес­ты с десят­ками карт, я был поражен мас­шта­бом проб­лем в бан­ках. С начала 2000-х они никуда не делись, и с при­ходом бес­контак­тных пла­тежей таких проб­лем прос­то ста­ло боль­ше. Одна из осо­бен­ностей мошен­ничес­тва имен­но с бес­контак­тны­ми кар­тами зак­люча­ется в том, что его труд­но под­твер­дить, так как зло­умыш­ленни­ку нет необ­ходимос­ти получать физичес­кий дос­туп к тво­им кар­там. Поэто­му бан­ки неред­ко опро­тес­товыва­ют подоб­ные жалобы кли­ентов.

ЛЕГАСИ

Пер­вым, кто еще в 2014 году обра­тил вни­мание на небезо­пас­ность режимов легаси при бес­контак­тном методе опла­ты, был ис­сле­дова­тель Питер Фил­лмор (Peter Fillmore).

Что такое бес­контак­тные легаси‑режимы и зачем они соз­давались в 2013 году? Легаси‑режимы — спе­циаль­ные режимы для тер­миналов, которые не уме­ли работать с крип­тогра­фией, в основном аме­рикан­ских. Так­же из‑за обратной сов­мести­мос­ти кар­ты и тер­миналы, все‑таки уме­ющие в сов­ремен­ную крип­тогра­фию, мож­но исполь­зовать в легаси‑режимах. Пред­ставь себе, что по тво­ей чиповой кар­те мож­но совер­шать пла­тежи с маг­нитной полосой, — при­мер­но о таком уров­не безот­ветс­твен­ности идет речь.

Кар­ты Visa в режиме легаси MSD (Magnetic Stripe Data) поп­росту переда­ют Track2 Equivalent с динами­чес­ким полем CVV, меня­ющим­ся «вре­мя от вре­мени». То есть один и тот же CVV мож­но исполь­зовать боль­ше одно­го раза. Одна­ко этот режим так­же обла­дает недос­татком, поз­воля­ющим исполь­зовать некор­рек­тное зна­чение поля CVV2, о чем уже говори­лось в пре­дыду­щей статье. То есть дан­ные, счи­тан­ные с маг­нитной полосы, с чипа или бес­контак­тно­го чипа кар­ты, могут быть записа­ны и вос­про­изве­дены спе­циаль­ным при­ложе­нием по про­токо­лу NFC и банк будет счи­тать это бес­контак­тной тран­закци­ей. Рус­ский прог­раммист Дмит­рий Холодов даже раз­местил в Google Play при­ложе­ние, поз­воля­ющее счи­тывать и сох­ранять эти дан­ные на телефо­не с Android.

Кар­ты MasterCard пош­ли чуть даль­ше: в их режиме легаси, называ­ющем­ся PayPass M-Stripe, кар­та при­нима­ет от тер­минала слу­чай­ное чис­ло UN, исполь­зует счет­чик ATC и генери­рует поле авто­риза­ции CVC3 на осно­ве этих дан­ных. Далее тер­минал сам соз­дает из перечис­ленных зна­чений динами­чес­кий Track2 Equivalent и посыла­ет бан­ку для авто­риза­ции пла­тежа.

Ре­жим обла­дает глав­ным недос­татком — низ­кой энтро­пией поля UN и отсутс­тви­ем дру­гих полей для энтро­пии, таких как сум­ма пла­тежа, дата тран­закции. UN может занимать от 3 до 5 байт, каж­дый байт сос­тоит толь­ко из цифр. Зна­чит, на вход кар­те может пос­тупить 999, 9999 или 99 999 раз­личных зна­чений UN. В пер­вых двух слу­чаях, под­неся к кар­точке сотовый телефон с ус­танов­ленным при­ложе­нием, зло­умыш­ленник может быс­тро кло­ниро­вать все тран­закции с кар­ты.

Да­лее зло­умыш­ленник совер­шает пла­теж на тер­минале, который под­держи­вает режим M-STRIPE, исполь­зуя телефон с кло­ниро­ван­ными тран­закци­ями. Тер­минал генери­рует слу­чай­ное поле UN, телефон ищет в сво­ей базе тран­закций кор­рек­тную пару ATC/CVC3, отно­сящу­юся к это­му UN, и отда­ет тер­миналу.

Тут сто­ит напом­нить, что пла­теж­ные сис­темы рекомен­дуют сле­дить за поряд­ком зна­чений счет­чика и не при­нимать тран­закции со зна­читель­ными прыж­ками этих самых зна­чений ATC. Если сис­темы антифро­да нас­тро­ены кор­рек­тно, зло­умыш­ленни­кам не удас­тся совер­шить более одно­го пла­тежа, потому что для сле­дующе­го пла­тежа зна­чение слу­чай­ного поля UN при­ведет к появ­лению такого же слу­чай­ного зна­чения поля ATC, гораз­до выше или ниже пре­дыду­щего. Если же сис­темы антифро­да запуга­ны «озлоблен­ными покупа­теля­ми», у зло­умыш­ленни­ка в руках будет пол­ноцен­ный клон кар­ты, который он смо­жет исполь­зовать мно­жес­тво раз.

Дру­гой обна­ружен­ный иссле­дова­теля­ми спо­соб мошен­ничес­тва — зас­тавить тер­минал поверить, что энтро­пия UN = 0. Тог­да он вер­нет толь­ко одно воз­можное зна­чение UN = 00000, и ему соот­ветс­тву­ет толь­ко одна пара ATC/CVC3. В этом слу­чае кло­ниро­вать кар­ту ста­новит­ся неверо­ятно лег­ко. Нам даже уда­лось най­ти один рос­сий­ский банк, который был под­вержен такой ата­ке.

Од­но из хороших опи­саний недос­татков режимов легаси на рус­ском язы­ке вы­ходи­ло в 2018 году. Одна­ко я спе­шу не сог­ласить­ся с авто­ром в том, что проб­лема в целом решена: за пос­ледний год я нашел две работа­ющих в режиме Legacy рос­сий­ских кар­ты MasterCard, а так­же одну кар­ту и один кар­точный эквай­ринг в Рос­сии, которые под­держи­вают уж сов­сем небезо­пас­ный режим Visa MSD.

Под­ход к реали­зации режимов легаси инте­ресен еще и с точ­ки зре­ния при­мени­мос­ти атак на них в реаль­ном мире. Ата­ки на кар­ты Visa до сих пор чрез­вычай­но популяр­ны и име­ют пов­семес­тное рас­простра­нение. Ведь для того, что­бы совер­шать бес­контак­тные пла­тежи по кар­там Visa, мож­но исполь­зовать информа­цию, дос­тупную для про­дажи на спе­циаль­ных форумах, — Track2 или Track2 Equivalent.

Близкие контакты. Атакуем бесконтактные карты 4
Ата­ки на кар­ты Visa до сих пор рас­простра­нены

Ле­гаси‑режим карт MasterCard тоже обла­дает уяз­вимос­тями, поз­воля­ющи­ми их ата­ковать. Одна­ко эти ата­ки гораз­до слож­нее при­менить в реаль­ных усло­виях, пос­коль­ку для них нужен физичес­кий дос­туп к кар­те жер­твы, хотя бы на минуту. Вот почему подоб­ные ата­ки прак­тичес­ки не встре­чают­ся в «дикой при­роде».

Читайте также:   Нулевая защита здоровья и зеленый свет для цифровых экспериментов
Близкие контакты. Атакуем бесконтактные карты 5
Ата­ки на MasterCard тре­буют физичес­кого кон­такта с кар­той

Сто­ит отме­тить, что боль­шинс­тво мобиль­ных кошель­ков — GPay, SamsungPay, кас­томные HCE (Host-Card Emulation, при­ложе­ние на Android, которое эму­лиру­ет кар­ты) — так­же под­держи­вают режимы M-Stripe и MSD. Но об этом мы погово­рим в раз­деле, пос­вящен­ном мобиль­ным кошель­кам и дру­гим нес­тандар­тным пла­теж­ным устрой­ствам.

КЛОНИРОВАНИЕ КАРТ И ТРАНЗАКЦИЙ

Кло­ниро­вать бес­контак­тные кар­ты EMV, что­бы их тран­закции мог­ли про­ходить авто­риза­цию в реаль­ном вре­мени, невоз­можно. Зло­умыш­ленни­ки или иссле­дова­тели пока что не научи­лись извле­кать крип­тогра­фичес­кие клю­чи для соз­дания пла­теж­ных крип­тограмм. Одна­ко это не единс­твен­ный спо­соб изго­товить фун­кци­ональ­ный клон кар­ты:

  • зна­чение Track2 Equivalent мож­но записать на маг­нитную полосу и совер­шать пла­тежи за пре­дела­ми Рос­сии, как это было опи­сано в статье, пос­вящен­ной ата­кам на EMV;
  • для кло­ниро­вания тран­закций так­же исполь­зует­ся дру­гая тех­ника, опи­сан­ная ранее, — Cryptogram Replay;
  • на­конец, пол­нофун­кци­ональ­ный клон кар­ты или огра­ничен­ного чис­ла тран­закций мож­но соз­дать, исполь­зуя уяз­вимос­ти режимов легаси, о которых я рас­ска­зал выше.

 

ОБХОД ВЕРИФИКАЦИИ ПЛАТЕЛЬЩИКА

Мей­нстрим иссле­дова­ний по небезо­пас­ности EMV/NFC в пос­ледние 15 лет пос­вящен теме верифи­кации пла­тель­щика — Cardholder Verification Methods, или CVM. Почему? Потому что обход CVM завязан на дру­гие недос­татки безопас­ности карт: авто­риза­цию и аутен­тифика­цию. Такие ата­ки не осо­бо популяр­ны по тем же при­чинам — зло­умыш­ленни­ку необ­ходимо иметь физичес­кий дос­туп к кар­те. В офи­циаль­ной ста­тис­тике этот тип мошен­ничеств называ­ется Lost & Stolen.

INFO

Что такое «непопу­ляр­ный тип мошен­ничес­тва»? Объ­ем несан­кци­они­рован­ных опе­раций Lost & Stolen в Рос­сии, по зак­лючению бан­ка Тинь­кофф, — все­го 7% за 2019 год. Если взять офи­циаль­ную циф­ру обще­го кар­точно­го мошен­ничес­тва от Фин­ЦЕРТ за 2018 год в 1,38 мил­лиар­да, то при­чинен­ный зло­умыш­ленни­ками ущерб сос­тавля­ет чуть мень­ше 100 мил­лионов руб­лей.

Ки­бер­прес­тупни­ки могут под­менить метод верифи­кации на раз­ных эта­пах про­цес­синга пла­тежа, исполь­зуя ата­ку MITM (человек посере­дине). Давай раз­берем каж­дый вари­ант в отдель­нос­ти.

 

Подмена между терминалом и банком-эквайером

Та­кой тип атак называ­ется transaction stream fraud — ког­да хакеры под­меня­ют дан­ные о тран­закции в момент их переда­чи от пла­теж­ного тер­минала. При этом банк‑эми­тент одоб­ряет тран­закцию, хотя и не дол­жен был. Верифи­кация тран­закции может выпол­нять­ся дву­мя метода­ми.

  1. Под­мена на офлай­новый ПИН. Эта схе­ма не исполь­зует­ся для бес­контак­тных карт, прос­то потому, что кар­ту приш­лось бы прик­ладывать дваж­ды в про­цес­се пла­тежа. Ни одна пла­теж­ная сис­тема не была к это­му готова пос­ле 2010-х, ког­да чис­ло под­клю­чен­ных к интерне­ту тер­миналов начало приб­лижать­ся к 100%. Одна­ко мы наш­ли пять бан­ков, которые авто­ризо­вали тран­закцию, если метод верифи­кации был заяв­лен как «офлайн‑ПИН».
  2. Под­мена на онлайн‑ПИН. Если зап­рос на авто­риза­цию пла­тежа ука­зыва­ет, что был выб­ран онлайн‑ПИН, но самого зашиф­рован­ного ПИНа в поле зап­роса нет, один из иссле­дован­ных нами бан­ков все рав­но авто­ризо­вал тран­закцию.

Я пос­тоян­но стал­кива­юсь с недо­уме­вающи­ми экспер­тами — если мошен­ники исполь­зуют свои собс­твен­ные тер­миналы, их же лег­ко будет отсле­дить и най­ти? К сожале­нию, это не всег­да так. Те же бра­зиль­цы, упо­мяну­тые Брай­аном Креб­сом, лег­ко успе­ли скрыть­ся и отмыть похищен­ные ими день­ги до того, как на них выш­ло ФБР.

Подмена между телефоном и терминалом

Подмена на подпись

Са­мый популяр­ный пос­ле онлайн‑ПИНа спо­соб верифи­кации пла­тель­щика — это так называ­емая под­мена на под­пись. Вла­дель­цы карт некото­рых рус­ских бан­ков прек­расно зна­ют, что вмес­то вво­да ПИН‑кода кар­та может по умол­чанию зап­рашивать под­пись на чеке. Эта схе­ма, называ­емая Chip & Signature (по ана­логии с Chip & PIN), приш­ла из Аме­рики. Я толь­ко недав­но узнал о при­чинах ее популяр­ности за оке­аном.

INFO

Ког­да в начале 2000-х в США начал­ся мас­совый переход на чиповые кар­ты, ока­залось, что с точ­ки зре­ния аме­рикан­ско­го законо­датель­ства, вне зависи­мос­ти от того, был вве­ден пра­виль­ный ПИН во вре­мя мошен­ничес­кой опе­рации или нет, кли­енту обя­заны воз­мещать день­ги. А если не вид­но раз­ницы, то зачем пла­тить кли­ентам, для которых все эти дей­ствия с вво­дом ПИН‑кода — голов­ная боль? Поэто­му в стра­не до сих пор так популяр­на схе­ма Chip & Signature.

Ес­ли зло­умыш­ленник под­менит тип верифи­кации с ПИНа на под­пись, а затем пос­тавит крес­тик на чеке или незадач­ливый кас­сир не зап­росит автограф — вла­делец кар­ты может зат­ребовать ком­пенса­цию, если докажет, что опе­рация совер­шалась не им. Одна­ко получит ли он ее — не зна­ет точ­но ник­то. Но если уж будет доказа­но, что по рос­сий­ской кар­те был вве­ден и кор­рек­тно про­верен ПИН, всю вину воз­ложат на кли­ента.

Ин­терес­но, что упо­мяну­тые ранее спе­циалис­ты из Aperture Lab мно­го лет занима­лись тех­ничес­кой экспер­тизой мошен­ничес­ких кар­точных опе­раций. Они собира­ли дан­ные об опе­раци­ях и доказы­вали бан­ку и судь­ям, что те совер­шались не так, как это интер­пре­тиру­ет банк, нап­ример без кор­рек­тно вве­ден­ного ПИНа или по заранее кло­ниро­ван­ной крип­тограм­ме.

Подмена на мобильный кошелек, или NoCVM

По­мимо двух самых популяр­ных схем для чиповых бес­контак­тных карт, тер­минал может при­нимать еще нес­коль­ко не сов­сем стан­дар­тных типов верифи­кации пла­тель­щика. Во‑пер­вых, зло­умыш­ленник может сооб­щить тер­миналу, что кар­та — это вов­се не кар­та, а мобиль­ный кошелек, ска­жем Apple Pay. В боль­шинс­тве тер­миналов в таком слу­чае не пот­ребу­ется вво­да никаких ПИН‑кодов и даже не нуж­но будет оставлять под­писи на чеке. То же самое про­изой­дет, если в виде метода верифи­кации выб­рать NoCVM.

Для бес­контак­тных карт Visa мы по­каза­ли эту уяз­вимость в 2019 году, где про­демонс­три­рова­ли недос­татки защищен­ности механиз­мов CVM по кар­там из Рос­сии, Евро­пы, Аме­рики и Великоб­ритании. Поз­же иссле­дова­тели из уни­вер­ситета Цюриха пов­торили наше иссле­дова­ние по отно­шению к швей­цар­ским кар­там с неболь­шими изме­нени­ями для евро­пей­ско­го рын­ка. Они лишь под­твер­дили опи­сан­ные нами ранее зак­лючения о кар­тах Visa.

Не­кото­рые экспер­ты инте­ресу­ются: почему толь­ко Visa? Во‑пер­вых, кар­ты MasterCard про­веря­ют целос­тность выб­ранных методов верифи­кации CVM во вре­мя Offline Data Authentication. В отли­чие от карт Visa, этот про­цесс обя­зате­лен для каж­дой бес­контак­тной кар­ты MasterCard. Так­же поле, отве­чающее за мобиль­ный кошелек, явля­ется частью пла­теж­ной крип­тограм­мы, и их тоже невоз­можно под­менить без откло­нения тран­закции.

 

PSD2 И КАРТОЧНОЕ МОШЕННИЧЕСТВО В ЕВРОПЕ

Каж­дая стра­на мира име­ет свои рекомен­дации по лимитам NoCVM, ког­да никакой верифи­кации пла­тель­щика не тре­бует­ся. Речь идет о так называ­емой схе­ме Tap & Go. В Рос­сии этот лимит ранее сос­тавлял 1000 руб­лей, но недав­но его повыси­ли до 3000 руб­лей. В Великоб­ритании до COVID эта циф­ра была 30 фун­тов стер­лингов, сегод­ня — 45.

Каж­дый магазин и банк‑эквай­ер может уста­нав­ливать какие угод­но лимиты для сво­их тер­миналов. Одна­ко рис­ки за мошен­ничес­тво NoCVM будут лежать на их пле­чах, имен­но поэто­му не каж­дый банк или мер­чант захочет уста­нав­ливать лимиты выше сред­них, ина­че к ним побегут радос­тные мошен­ники.

Са­мая популяр­ная схе­ма мошен­ничес­тва по укра­ден­ным бес­контак­тным кар­там — это пой­ти в магазин и совер­шить пла­теж по опи­сан­ной схе­ме Tap & Go. Нап­ример, мас­штаб такого мошен­ничес­тва в Великоб­ритании — «все­го» чуть боль­ше 10 мил­лионов фун­тов стер­лингов за 2019 год. Дело в том, что зло­умыш­ленни­ки мог­ли совер­шать сколь­ко угод­но опе­раций по лимитам NoCVM, пока кар­ту не заб­локиро­вали. Самые наг­лые даже находи­ли кас­сиров, которые без проб­лем раз­деляли боль­шой чек на нес­коль­ко 30-фун­товых, что поз­воляло обой­ти наци­ональ­ные огра­ниче­ния.

Что­бы про­тивос­тоять такому мошен­ничес­тву, евро­пей­ский регуля­тор выпус­тил набор новых законов, который называ­ется PSD2 (Payment Service Directive, version 2). Одно из глав­ных тре­бова­ний отно­сит­ся к час­тоте верифи­кации пла­тель­щика — Strong Customer Authentication. В эти тре­бова­ния вклю­чен раз­дел по бес­контак­тным опе­раци­ям Tap & Go — Cumulative Limits, в соот­ветс­твии с которы­ми начиная с 2020 года бан­ки‑эми­тен­ты огра­ничи­вают количес­тво опе­раций ниже лимитов Tap & Go. Они, наобо­рот, дол­жны счи­тать сум­марно пот­рачен­ные средс­тва и про­сить ввес­ти ПИН‑код через каж­дые пять опе­раций или в слу­чае, если дер­жатель кар­ты пот­ратит экви­валент мак­сималь­ной сум­мы по пяти опе­раци­ям Tap & Go, нап­ример 225 фун­тов стер­лингов в Великоб­ритании или 250 евро во Фран­ции. Если в евро­пей­ских стра­нах эта про­цеду­ра не слиш­ком замет­на для вла­дель­цев карт, то в Великоб­ритании дей­ству­ет Hard Limits. Это озна­чает, что для пла­тежей, которые тре­буют ввод ПИН‑кода или под­писи, тре­бует­ся вста­вить в тер­минал кар­ту с чипом.

INFO

Visa и MasterCard пред­лага­ют две схе­мы работы выше лимитов Tap & Go — Soft или Hard limits. Боль­шинс­тво стран работа­ет по пер­вой схе­ме, в которой при про­веде­нии пла­тежа выше уста­нов­ленно­го лимита будет зап­рошена допол­нитель­ная верифи­кация пла­тель­щика — под­пись или онлайн‑ПИН. Единс­твен­ная извес­тная мне стра­на, работа­ющая по схе­ме Hard Limits, — Великоб­ритания. В ней в слу­чае пла­тежа выше Tap & Go при­дет­ся вста­вить кар­ту с чипом. Это, естес­твен­но, не отно­сит­ся к мобиль­ным кошель­кам — по ним лимиты отдель­ные. Боль­ше информа­ции мож­но най­ти в упо­мяну­тых иссле­дова­ниях.

За­кон все еще мед­ленно рас­простра­няет­ся по Евро­пе. Но как толь­ко у меня на руках ока­залось дос­таточ­но карт, по которым при­меня­лись пра­вила Cumulative Limits, я стал про­верять, нас­коль­ко эффектив­ны эти пра­вила и как их мож­но обой­ти, исполь­зуя пуб­личные уяз­вимос­ти или их новые вари­ации. Одно из наших пос­ледних иссле­дова­ний показа­ло, что ста­рые доб­рые ата­ки PIN OK, под­мена верифи­кации на Chip & Signature, Transaction Stream Fraud — все они поз­воля­ют «сбро­сить лимиты» в 225 фун­тов стер­лингов / 250 евро. Имея на руках похищен­ные кар­ты и спе­циаль­ный тер­минал, хакеры могут совер­шать пла­тежи в обыч­ных магази­нах свы­ше ука­зан­ных огра­ниче­ний, пери­оди­чес­ки «сбра­сывая лимиты» с помощью сво­его ском­про­мети­рован­ного тер­минала.

ЗАКЛЮЧЕНИЕ

За три года плот­ной работы с кар­точны­ми тран­закци­ями я мно­гое понял. Риск‑ори­енти­рован­ный под­ход в пла­теж­ной индус­трии зас­тавля­ет бан­ки и дру­гих игро­ков рын­ка под­держи­вать уста­рев­шие фор­мы пла­тежей прос­то «потому, что это нуж­но». Имен­но поэто­му за пос­ледние годы мне уда­лось совер­шить зах­ватыва­ющее путешес­твие в деб­ри кар­точно­го мошен­ничес­тва, най­ти десят­ки уяз­вимос­тей в раз­личных бан­ках и пла­теж­ных сис­темах, научить­ся раз­бирать­ся в ISO-8583, эму­лиро­вать при­меры тран­закци­онно­го фро­да и осво­ить дру­гие инте­рес­ные и необыч­ные спо­собы атак, которые, будем наде­ять­ся, так и оста­нут­ся толь­ко в нашей лабора­тории.

Источник

Автор публикации

не в сети 6 часов

Андрей Маргулис

451
С организацией DDoS атак завязал.
Выкладываю новости технологий и интересные статьи с темной стороны интернета.
29 лет
День рождения: 14 Мая 1991
Комментарии: 528Публикации: 1960Регистрация: 12-12-2015
РЭНБИ - информационно-развлекательный портал
Добавить комментарий
Войти с помощью: 
Авторизация
*
*
Войти с помощью: 
Регистрация
*
*
*
*
Ваш день рождения * :
Число, месяц и год:
Отображать дату:
Войти с помощью: 
Генерация пароля