Как сделать копию банковской карты
Мошенничество с картами с чипом по-бразильски
Исследователи “Лаборатории Касперского” рассказали о том, как в Бразилии воруют информацию о картах с чипом и клонируют их.
Есть два типа банковских карт – более старые, с магнитной полосой, и более новые и безопасные, с чипом. Новые технологии в банковской сфере внедряются не так уж быстро, а в некоторых странах – так и вовсе медленно, так что карты с чипом распространялись медленно. Например, в США до недавнего времени продолжали по-старинке пользоваться картами с магнитной полосой — и перешли на чиповые карты лишь пару лет назад.
Проблема карт с магнитной полосой состоит в том, что вся информация, необходимая для оплаты, хранится на них в открытом виде — поэтому ее очень легко украсть и записать на другую карту. В чипе все более надежно – там используется криптография.
С переходом на карты с чипом многим казалось, что такой криминальный бизнес, как клонирование кредиток, наконец-то скоро канет в Лету. Но не тут-то было: на конференции Security Analyst Summit 2018 наши исследователи выступили с докладом о бразильской группировке, которая научилась воровать данные о картах с чипом и вполне успешно их клонировать. В этом посте мы постараемся максимально кратко и просто изложить суть их исследования.
Взлом банкоматов и не только
Началась эта история с того, что, наши эксперты изучали зловредов, которые бразильская группировка Prilex использовала для взлома банкоматов. В процессе изучения они обнаружили модифицированную версию такого зловреда, предназначенную для работы на платежных терминалах — тех самых коробочках, в которые вы вставляете карту и на которых набираете ПИН-код при покупке в магазине.
Эта версия зловреда меняла библиотеки программного обеспечения терминалов так, что злоумышленники могли перехватывать данные, которые терминал получал от карты и отправлял в банк. То есть, условно, стоило вам единожды расплатиться картой в магазине с зараженным терминалом — и все, данные вашей карты уже есть у преступников.
Однако получить данные — это полдела. Для того чтобы украсть ваши деньги, требуется изготовить копию вашей карты, прописав в нее украденные данные. В случае с чиповыми картами это не так-то просто сделать — за что спасибо собственно чипу и многочисленным процедурам аутентификации, которые предусмотрены стандартом EMV.
Однако группировке Prilex удалось это реализовать: злоумышленники построили целую инфраструктуру, позволявшую их «клиентам» с легкостью создавать клонированные карты, хотя в теории это вроде как должно быть невозможно.
Для того чтобы понять, как у них это получилось, предлагаем сперва очень кратко познакомиться со стандартом EMV, то есть с тем, как устроены карты с чипом.
Как работают банковские карты с чипом
Чип на карте — это не просто микросхема флеш-памяти. На самом деле это небольшой компьютер, позволяющий запускать приложения. Когда вы вставляете карту с чипом в терминал, происходит вот что:
Первым делом начинается инициализация. На этом этапе терминал получает основные сведения о карте, такие как имя владельца, срок действия и так далее, а также список приложений, которые есть на карте.
Дальше идет опциональный этап аутентификации данных. На этом этапе при помощи криптографических алгоритмов терминал удостоверяется, что карта настоящая. Однако согласно стандарту этот этап не является обязательным — то есть его можно пропустить.
Следующий этап тоже не обязательный — это верификация владельца. То есть терминал должен убедиться, что человек, вставивший карту — это ее настоящий владелец. Для этого человек должен либо ввести PIN-код, либо расписаться на чеке — в зависимости от того, как карта запрограммирована.
Наконец, следующий этап — это собственно транзакция, то есть перевод денег.
Еще раз обращаем ваше внимание: обязательными являются только первый и четвертый этапы, а второй и третий — опциональные. Этим-то и воспользовались бразильские мошенники.
Карточка на все согласна
Итак, условия задачи: карточка умеет запускать приложения и при общении с терминалом первым делом сообщает ему информацию о себе и список доступных приложений. Количество этапов при осуществлении платежа определяется терминалом и картой.
Решение: бразильцы написали для карты Java-приложение, которое делает, по сути, две вещи. Во-первых, оно сообщает платежному терминалу, что проводить аутентификацию данных, то есть второй этап, не нужно. То есть никакой криптографии дальше не используется, что существенно упрощает задачу.
Остается этап верификации владельца при помощи PIN-кода. Но стандартом предусмотрены разные варианты подтверждения пина, и в том числе такой, когда правильность его ввода подтверждает… собственно, сама карта. А точнее, установленное на ней приложение.
Преступники написали такое приложение, которое на вопрос о том, правильно ли введен PIN, всегда отвечает терминалу «да-да, все отлично». То есть злоумышленник с клонированной картой может ввести на терминале четыре абсолютно случайные цифры — и эти цифры будут приняты как правильный PIN.
Мошенничество с картами как услуга
Инфраструктура, созданная группировкой Prilex, включает в себя описанное выше Java-приложение, клиентскую программу под названием «Daphne», при помощи которой можно перезаписывать смарт-карты, и собственно базу ворованных данных карт, лежащую у них на сервере.
«Клиентам» предлагается купить этакий «комплект начинающего злоумышленника» из Java-приложения, программы «Daphne» и какого-то количества данных о картах. Приобрести устройство для записи карт и чистые смарт-карты можно абсолютно легально за считаные десятки долларов. Не важно, кредитная карта или дебетовая — «Daphne» позволяет клонировать любые.
Заключение
Prilex действует только на территории Бразилии и соседних с ней стран, но подумать о безопасности своих финансов лучше не только бразильцам. Вот несколько советов, последовав которым, вы снизите риск пострадать от рук мошенников:
Как копируют банковские карты
После вчерашней истории с кражей денег с моей карты Сбербанка путем клонирования карты, я решил вникнуть, как же это происходит.
И, честно говоря, был шокирован двумя вещами: что создать копию карты легко может даже школьник и что США просто райское место для мошенников, клонирующих банковские карты.
То, что вы прочтете в этом посте, многих из вас очень удивит.
Как устроена банковская карта
Теперь давайте подробнее об элементах защиты карты.
1. Магнитная полоса на обратной стороне карты. на самом деле магнитных полосы целых три, так называемые Track 1, 2 и 3.
Вот как полоса выглядит под микроскопом.
2. EMV (Europay, MasterCard, Visa Chip) чип — похожий на сим-карту и имеющий схожие электронные характеристики. Данный чип отвечает за проверку транзакции по карте на EMV совместимых банкоматах и создан международным концерном кредитных компаний в ответ на излишнюю лёгкость в копировании кредиток с магнитной лентой.
Одна из причин того, что чипы не подделывают это то, что недостаточно просто скопировать содержимое чипа на другую карту в первую очередь потому, что никакой информации на чипе зачастую просто нет (иногда на чипе храниться копия Track 2). Проверка идёт на аппаратном уровне, в интернете встречаются упоминания, что банкомат генерирует некий номер, на который чип должен дать верный ответ. Однако во многих банках проверка идёт просто на наличие EMV-чипа от данного банка.
Другими словами, если записать магнитную полоску на карту без EMV-чипа или карту с EMV-чипом другого банка, то банкомат такую карту не примет, а вот если закатать дорожку на истёкшую карту того же банка с правильным EMV-чипом, то снять деньги можно.
В любом случае EMV защищает только возможность снять деньги с банкоматов причём только тех, что имеют такую функцию. В абсолютном большинстве платёжных терминалов и банкоматов по всему миру по-прежнему считывается только магнитная карта без участия EMV. Это особенно касается стран третьего мира и, как я уже сказал выше, США!
Как же копируют карты с магнитной полоской?
Существует достаточно большой ассортимент аппаратного обеспечения для работы с магнитными картами. Лучший выбор — это MSR 206 совместимые устройства: они наиболее распространены и к ним существует больше всего программного обеспечения. И вообще они есть в любом отеле, где в качестве ключа используется магнитная карта. Покупаются они через интернет-магазин типа Ebay.
Устройство работает через интерфейс последовательного com-порта. Стоимость колеблется от 100 до 300$, отличаются устройства между собой комплектацией и дизайном, но принципиальной разницы между ними нет.
Через TOR можно найти немало утилит, с помощью которых происходит считывание и копирование данных с магнитных полос.
Вот так выглядит интерфейс одной из них, Jerm
А вот так диалоговое окно для непосредственной работы с картой
Как получают данные для копирования карты?
Как я уже сказал выше, мошенникам достаточно считать данные с магнитной полоски, а чип их вообще не интересует.
Как они это делают, знают все. С помощью скиммеров, которые накладывают на банкоматы.
Скиммером может быть пластиковая накладка, прикрепляемая к кардридеру, миниатюрная видеокамера в держателе для брошюр рядом с банкоматом. Также распространены специальные накладки на клавиатуру, считывающие порядок набора ПИН-кода. К банкоматам скиммеры крепятся с помощью обычного двустороннего скотча или застежки-«липучки». Например, если клавиатура была вогнутой, то специальная накладка сделает панель более плоской. Также скимминговое устройство может изменить сами клавиши: они будут либо утоплены в панель клавиатуры, либо, наоборот, слишком сильно выпирать. Производители банкоматов в последние годы стали устанавливать на банкоматы специальные устройства, позволяющие распознавать скиммеры.
Обнаружить невооруженным глазом скиммер на банкомате довольно сложно, поэтому рекомендуется пользоваться только теми банкоматами, которые расположены в отделениях банков, крупных торговых центрах, на охраняемой территории.
Да, скиммер способен украсть информацию только с магнитной полосы, а не с чипа. Но мошенникам, которые затем легализуют карты в США, этого достаточно.
Существуют также портативные скиммеры, позволяющие делать копию карты, когда она оказалась в руках злоумышленника (например, если он по совместительству ещё и официант в ресторане, где клиенты часто расплачиваются пластиковыми картами).
Из беседы с человеком, глубоко изучавшим эту тему, я узнал, что большинство данных карт в наше время «воруют» в Южной Америке. Если в России и других странах службы безопасности банков постоянно борятся со скиммерами, то в Бразилии и Колумбии этого просто не делается, что дает мошенникам широкие возможности.
Далее мошенники записывают полученные данные на, так называемый, белый пластик и оптом продают карты дельцам. Карты переправляются в США и с них либо снимают деньги, если удалось снять пин-код, либо по дешевке продают на черном рынке.
Ну а там уже кто в интернете что-то пытается купить, кто в супермаркете, как случилось с моей картой.
Начались продажи устройства для клонирования кредитных карт, лежащих в чужом кармане
Хакерская группа CC Buddies начала продажи устройства, позволяющего на расстоянии 15 см моментально «клонировать» кредитные карты, оснащенные RFID-чипами. Устройство легко спрятать под одеждой и очень трудно обнаружить. Свое изделие злоумышленники продают в открытую: сайт доступен всем желающим. Ранее для подобных «сервисов» использовался даркнет.
Группа хакеров под названием CC Buddies начала открытую продажу вредоносного устройства для бесконтактного считывания и клонирования кредитных карт, оборудованных RFID-чипами. Новое устройство способно копировать 21 кредитную карту в секунду.
Близкий недружественный контакт
Для считывания карт требуется тесный контакт с потенциальной жертвой; однако в общественном транспорте в час пик, когда люди вынужденно прижимаются друг к другу, у злоумышленников, вооруженных подобными устройствами, появляется шанс на богатый улов. Шанс этот уже был неплох, когда устройства работали с расстояния 8 см, и тем более хорош он оказывается, когда рабочее расстояние возрастает вдвое.
Само устройство невелико и снабжено крепежом на руку, так что его без труда можно спрятать под длинным рукавом. Это делает его вдвойне опасным: вероятность его обнаружения стремится к нулю.
Но даже при поимке злоумышленника, доказать факт преступления будет непросто, поскольку X6 оборудовано средствами шифрования хранящихся данных.
Собранные данные карт хранятся прямо в памяти устройства, на компьютер их можно передать с помощью USB-кабеля.
Интересно, что CC Buddies развернули сайт для своего сервиса в «обычном» интернете, а не в даркнете, как это было раньше. Несколько других групп, занимающихся сходным промыслом, продолжают работать в даркнете.
Дубликаты не найдены
Кроме шапочки из фальги еще и кошелек в неё заворачивать?
Я вот только что на прошлой неделе был на рекламной выставке в Крокусе, в Москве.
Полиграфия, сувениры и прочее из этой же области.
Народу мало, стенды не особо богатые, сама выставка все меньше и меньше.
Стоит стендик компании начинающейся на АйМэджик, а заканчивающеся на вэй.
Защита бесконтактных кредитных карт от несанкционированного снятия денег.
Девочка на стенде начинает мне рассказывать. что конвертики не просто из бумаги, а из специальной, магнитной, и ламинат непростой, а магический. В общем купите у нас, подарите клиентам и обеспечьте им безопасность.
На мои попытки объяснить ей, что такие конвертики может сделать 90% присутсвующих на выставке компаний и по цене много дешевле, мне рассказывают, что все запатентовано, эффект доказан ну и так далее.
Это которые на али за 200 рублей 10 штук?
российская разработка конечно.
типа того. Почём вам предлагали?
да, только из плотной бумаги с ламинатом.
цены меня совсем не интересовали и я убёг
Осталось только вспомнить, как работает чипованная карта и карта с paypass.. Прочитать её можно обычным телефоном с NFC. Только толку от этого никакого.
Где пруфы? ссылка на статью, интернет-магазин?
Тебе ссылку на RFID ридер дать? или на NFC девайс? Такие карты читаются любым NFC устройством, и действительно хранят информацию о номере карты и сроке её действия. Вы в принципе можете напечатать эти сведения и выложить их например здесь.
Можт и зря я расстроился что перевыпущенная карта зарплатная опять без метки.
А ваще яхз какой уровень защиты у банковских карт, но майферовские у нас студенты с матмеха у преподов клонировали аналогичным образом и лет 5-7 назад. по сути сам считыватель достаточно маленький.
Хрень всё это, хакеры разводят лохов просто.
Очередной арест по «кардерской статье» в США
Снова гражданин РФ, зовут его Кирилл Фирсов.
Чем был известен до ареста?
В ИБ-сообществе светился на хакерском форуме «Античат». Дважды побеждал в составе команды «Античат» в соревновании «Противостояние» на хакерской конференции PHDays.
(Автор тоже принимал участие в «Противостоянии» в составе другой команды и не высокого мнения о соревновании в целом).
Пытался хайпануть на поиске уявимостей в Телеграмм. Он указал, что копирование и вставка сообщений в секретный чат телегремма на MacOS (IOS) небезопасна и протоколируется самой операционной системой. Что было признано, но на серьезную уязвимость никак не тянуло.
Особо известен стал как блоггер-путешественник, очень активно вел соцсети и инстаграмм, жил безбедно как раз за счет «своих IT проектов».
— доступами ко взломанным серверам;
— и прочим хакерским товаром
шли к нему, само собой, за процент или арендную плату. Сама площадка гарантировала качество продаваемого товара, такой «АлиЭкспресс» для хакеров/кардеров и прочих злоумышленников.
Всего на площадке было более 24 000 активных магазинов с оборотом в 17 миллионов баксов (скрин магазинов внизу).
7 марта в Аэропорту имени президента Кеннеди в США на границе.
Да, он полетел туда путешествовать и, видимо, совершенно не боялся, что его могут преследовать.
Не боялся настолько, что ниже привожу скриншот его поста в чате об американских визах от 6 марта (обязательно прочтите).
Его даже не насторожило, что ему решили ВЫДАТЬ УЖЕ ОТКЛОНЕННУЮ визу.
Что ради него посольство сделало все, что только можно, чтобы он успел на рейс.
Выдали прям перед вылетом в последний момент, мило улыбались и желали счастливого пути.
Сколько ему грозит в США? Много, очень много. Но, может у него есть, кого сдать покрупнее? Увидим.
Бесстрашие и безграничная наивность. Вот еще его фоточка вам и фото с бокалом шампанского, видимо из Бизнес-класса.
Автор: Forbidden World.
Опять про логику
Что то на днях было несколько постов про логику, в основном связаные с футболом, а я вот вспомнила свою историю (не про футбол).
Пару лет назад у меня со счета в банке (дело в Штатах) сняли почти 1000$, что то там 970 с чем то. Заметила я это буквально в тот же день, естественно побежала в ближайшее отделение разбираться, куда уплыли мои денежки. Оказалось, что банковским переводом в Мексику, и что у меня в счет добавлен как пользователь какой-то Хосе Игнасио и Роза Мария Гваделупа (именя вымышленые, но близко к правде), и что якобы я онлайн заказала перевод в Мексико-сити, наверное родственникам Хосе и Марии. Ну ясно, что счет мой взломали, ибо когда мне реально нужно было перевеcти деньги в Беларусию, чуть ли анализ ДНК нужно было в банк нести, а тут все легко и просто. Hаписали заявление, сказали, что скорее всего через месяц денежки вернут, но нужно провести расследование, и посоветовали в подтверждение кражи написать заявление в полиции.
Пришла в участок, прождала минут 30, наконец какой-то офицер вышел со мной поговорить, изложила всю ситуацию, говорю, мне нужно заявление написать и копию в банк послать. и вот такой у нас с ним разговор происходит (я-я, п- полицейский):
П: А вы в Мескике когда нибудь были?
Я: Да, на каникулах, на курорте отдыхала.
П: Ну вот, все сходится.
Я: Что сходится? О_О
П: Вы были в Мексике, значит у вас есть там знакомые, значит вы сами перевели им деньги. Нет никакого преступления, а сейчас вы пытаетесь меня обмануть (Коломбо, блин!)
Я: (охренела на минуту, но вспомнив старый анекдот. ) Ну, господин офицер, следуя вашей логике я вынуждена обвинить вас в попытке изнасилования.
П: Вы несете полный бред и в участке полно свидетелей, что я этого не делал.
Я: Hу в таком случае в моем он-лайн банке технически нету функции для меня совершить перевод денег в другую страну, просто кнопки такой нет, соответственно я этого сделать не могла. Это во первых. А во вторых, скорее всего эти деньги осели где-нибудь в Китае (или в России, но про это я промолчала, тут мне вообще не отмазаться было бы).
Деньги мне банк вернул через месяц и без заявления, но знакомые до сих пор подшучивают над моими связями в Мексике и логический ряд господина полицейского превратился в нашу внутреннюю шутку.