Bankomaty – jak wszyscy to wiemy, przechowują i wydają pieniądze. Wiedzą to również przestępcy. Nawet Janusze Zbrodni. Wiedzą, że można ukraść kasę bez specjalnej finezji. Ot wystarczy podjechać świeżo zagazowanym polonezem szwagra podpiąć łańcuchem do haka i heja. Po garach i jest Bony i Clyde. Jest Ojciec Chrzestny. Jest wolność i swoboda.

Nieco więcej finezji i wysiłku wkładają w kradzieże cyberprzestępcy. Wykorzystują bardziej wyrafinowane metody i przyrządy. Przede wszystkim urządzenia, które wysyła dane bankowe klienta z paska magnetycznego karty i inicjuje różnego rodzaju oszustwa.

Tytuł tego postu brzmi trochę jak post z blogu modowego. Nowe trendy na jesień-zima 2019. I trochę tak jest… dzwony odchodzą do lamusa pojawiają się obcisłe dżinsy. W naszym przypadku skimmery są już passe teraz modne są shimery.

Od dłuższego czasu skimmery dominowały jako metoda kradzieży, czy fizycznego manipulowania bankomatami. Niektóre z tych urządzeń są prawie nie do odróżnienia od legalnych czytników kart zainstalowanych na komputerze. Skimmery mogą zmieścić się w istniejącym czytniku kart i są trudne do wykrycia, szczególnie dla konsumenta. Skradzione numery kart można następnie wykorzystać do sklonowania karty z paskiem magnetycznym.

Teraz jednak, dzięki powszechnemu wdrożeniu metody płatności Europay Mastercard Visa (EMV) za pomocą kart chipowych z układami scalonymi przechowującymi dane o płatnościach, informacje umieszczone na pasku nie są tak kluczowe, jak kiedyś. Atakujący muszą teraz skupić się na przechwytywaniu danych z chipa.

Najskuteczniejszym środkiem zaradczym jest obecność płytki ochronnej karty (CPP), najnowocześniejszego mechanizmu zabezpieczającego, który jest trudny do obejścia. CPP mają na celu zapobieganie wstawianiu obiektów do czytnika kart bankomatowych i jest mało prawdopodobne, aby osoba atakująca mogła otworzyć urządzenie i usunąć CPP.

Zamiast tego osoby atakujące używają z rosnącą częstotliwością czegoś, co nazwiemy brzydko używając kalki z angielskiego „migotaniem”, aby pobrać dane układu scalonego, gdy bankomat je odczytuje. Shimery są cienkimi urządzeniami – znacznie mniejszymi niż na przykład skimmery – które zawierają pamięć flash i mikroczip i są umieszczone między chipem a czytnikiem chipów w bankomacie i innych urządzeniach, takich jak systemy punktów sprzedaży. „Migotanie” przechowuje skopiowane dane karty płatniczej, które można następnie zrzucić na pasek magnetyczny fałszywej karty.

Teoretycznie nie można klonować kart chipowych, ponieważ zawierają one dodatkowe zabezpieczenie w postaci komponentu zwanego wartością weryfikacji karty zintegrowanego obwodu (iCVV), który różni się od bardziej znanego numeru CVV przechowywanego na paskach magnetycznych. iCVV chronią przed kopiowaniem danych z paska magnetycznego z układu i wykorzystują te dane do tworzenia fałszywych kart z paskiem magnetycznym.

Mimo to pojawiło się kilka publicznie zgłaszanych incydentów i aresztowań związanych z oszustwami i używaniem shimerów, w tym aresztowanie pięciu osób w Kalifornii w kwietniu 2018 r. I kilka innych znanych ataków od 2015r.

Analitycy obserwujący Darknet informują, że cały czas rośnie zainteresowanie niestandardowymi shimmersami. W nielegalnych społecznościach internetowych niektórzy sprzedawcy oferują również narzędzia do wykrywania CPP i publikują filmy opisujące ich narzędzia do umieszczania i usuwania shimerów.

Pomijanie CPP jest trudne, ale możliwe w zależności od tego, czy bank prawidłowo weryfikuje transakcje, w szczególności iCVV. Uwierzytelnianie iCVV odbywa się w czasie rzeczywistym, aby autoryzować transakcje, w których dane z karty chipowej i terminala są wprowadzane do algorytmu, który tworzy unikalny kryptogram dla każdej transakcji. Znane problemy związane z bezpieczeństwem dotyczą kart EMV Statical Data Authentication (SDA), które używają pojedynczego, statycznego podpisu cyfrowego dla każdej transakcji i często weryfikują numer PIN każdej karty w postaci zwykłego tekstu. Ta kombinacja czynników może umożliwić „złamanie” karty poprzez ponowne ich zapisywanie na fałszywych kartach przy użyciu oprogramowania EMV, oraz czasami wygenerowanie i fałszowanie żądań transakcji EMV.

Chociaż chipy SDA EMV mają zostać wycofane, analitycy Flashpoint oceniają z „umiarkowaną pewnością”, że jakiekolwiek takie układy pozostające w obiegu mogą nadal być poszukiwane przez cyberprzestępców. Analitycy Flashpoint obserwowali aktorów z wielu podziemnych społeczności dyskutujących o pisaniu informacji SDA na pasku magnetycznym karty, a także na chipie, omijając w ten sposób zabezpieczenia.

Ponadto atak wykorzystujący podkładkę włożoną do czytnika kart bankomatowych zależy od tego, że bank nie weryfikuje prawidłowo transakcji na kartach bankomatowych. Atak ma na celu niewłaściwe obchodzenie się z iCVV i wykorzystuje banki, które nie wdrożyły prawidłowo standardu karty chipowej EMV. Istnieją różne rodzaje metod przetwarzania EMV, które wykorzystują SDA, Dynamic Data Authentication (DDA) i Combined Data Authentication (CDA), a także weryfikację przetwarzania w trybie offline i online. W zależności od kombinacji czynników związanych z technologią używaną przez bankomaty atakujący mogą być bardziej skuteczni w kierowaniu do mniej bezpiecznych konfiguracji, takich jak SDA, z weryfikacją offline. Chipy SDA są często bardziej podatne na ataki, chociaż SDA powinno być stopniowo wycofywane i zastępowane przez DDA i CDA.

Według analityków Flashpoint, CPP są obecnie najlepszym ograniczeniem dla ataków shimmingu. Niezależnie od tego oprogramowanie i sprzęt bankomatów powinny być regularnie aktualizowane. Cyberprzestępcy zwykle atakują starsze modele z przestarzałymi funkcjami bezpieczeństwa. Jeśli używany jest CPP, powinien być zainstalowany z opcjonalnym przełącznikiem sabotażowym. Pomoże to złagodzić wszelkie ataki, które są skierowane przeciw CPP. Jeśli alarm zostanie wyzwolony, bankomat może wysyłać alerty na różne sposoby.

Bankomaty powinny przeprowadzać odpowiednie kontrole transakcji EMV / CVV. Weryfikacja online jest korzystniejsza niż weryfikacja danych EMV w trybie offline. Jeśli czytniki kart nie mają opcjonalnego przełącznika sabotażowego, ale mają zainstalowany CPP, firmy zapewniające bezpieczeństwo bankomatu, często oferują uaktualnienie w celu wdrożenia funkcji przełącznika sabotażowego, co jest zalecane.

Niezależnie od ochrony technicznej Bankomaty powinny znajdować się w obszarach, które są dobrze oświetlone i często monitorowane (np. W całodobowych sklepach ogólnospożywczych).