Skimmerzy kontra banki
-
- 17.11.2009
Znacznie bezpieczniejsze są karty w standardzie DDA, gdzie każda karta posiada klucz prywatny, który służy do podpisu, weryfikującego jej autentyczność. Każdy terminal zgodny z DDA posiada publiczny klucz i może przeprowadzić proces weryfikacji certyfikatu karty. Gdy proces ten się powiedzie, oznacza to, że karta jest ważna i można zaufać lokalnej weryfikacji kodu PIN, przeprowadzonego przez jej mikroprocesor. DDA jest znacznie bezpieczniejszym standardem uwierzytelnienia, ale same karty są droższe, gdyż wymagają umieszczenia koprocesora kryptograficznego. We wspomnianym dokumencie, badacze podkreślają luki w bezpieczeństwie słabszych systemów i jednoznacznie rekomendują stosowanie kart wyższej generacji, wyposażonych w możliwość obliczeń RSA.
Skopiowanie paska magnetycznego karty płatniczej jest możliwe na kilka sposobów. Pierwszym z nich jest atak przeprowadzony przez przekupionego pracownika sieci usługowej przy użyciu przenośnego czytnika. Małe urządzenie, z powodzeniem mieszczące się w dłoni, zawiera czytnik, który potrafi skopiować zawartość paska magnetycznego karty, przy czym do udanego ataku wystarczy kilka sekund nieuwagi użytkownika karty. W ten sposób nie da się jednak pozyskać kodu PIN nowoczesnych kart.
Automat w bankomacie
Znacznie mniej ryzykowne jest skopiowanie karty przy pomocy czytnika instalowanego w bankomacie. Jest to zazwyczaj niewielkie urządzenie, przyklejane przy otworze, w który wkładana jest karta. Czytnik taki kopiuje całą zawartość paska magnetycznego. Aby pozyskać kod PIN, przestępcy montują miniaturową kamerę lub specjalną nakładkę, która rejestruje wciskane klawisze. Dane są przechowywane na karcie pamięci lub transmitowane przez standardową sieć bezprzewodową Wi-Fi lub Bluetooth. W ten sposób nie da się jednak skopiować karty mikroprocesorowej. W celu walki ze skimmerami, producenci bankomatów wyposażają je w specjalne podajniki, pobierające kartę z otworu w taki sposób, że przesuwa się ona nieregularnym ruchem. Sygnał z głowicy magnetycznej, odczytującej ścieżki karty, jest wtedy bardzo trudny do wykorzystania. Bankomaty z takim zabezpieczeniem można coraz częściej spotkać w Polsce, są to przeważnie urządzenia firmy NCR.
Kopia jak oryginał
Dane pozyskane z paska magnetycznego umożliwiają utworzenie kopii karty płatniczej, która będzie się zachowywała identycznie jak oryginalna. Nawet w przypadku nieznajomości kodu PIN, z takiej karty można skorzystać w wielu punktach usługowych, gdzie nie zawsze jest wymagane potwierdzenie transakcji przy pomocy PIN-u.
Niektóre starsze karty posiadały zapisany na pasku skrót kryptograficzny, który umożliwiał przestępcom odzyskanie PIN-u i przeprowadzenie transakcji bankomatowych. Ponieważ w tym czasie regulaminy usług bankowych przewidywały odpowiedzialność użytkownika karty za wszelkie transakcje z użyciem PIN-u, reklamacje były automatycznie odrzucane, nawet jeśli użytkownik posiadał alibi. Podobne procedury obowiązywały w niektórych brytyjskich i niemieckich bankach, które uważały, że dostarczane zabezpieczenia są wystarczające. Dochodziło do tego, że odrzucano reklamacje, nawet gdy organy ścigania dostarczyły dowodów na to, że reklamowana transakcja nie została wykonana przez użytkownika karty.
