Уязвимость в протоколах PoS-терминалов приводит к хищению данных кредитных карт

Немецкие ИБ-специалисты Карстен Нол (Karsten Nohl) и Фабиан Браунлейн (Fabian Braunlein) обнаружили новую уязвимость в расположенных в Германии платежных терминалах, позволяющую злоумышленникам похитить PIN-код и информацию магнитных полос кредитных и дебетовых карт.

Эксперты протестировали платежные терминалы от пяти крупных операторов платежных систем. Устройства использовали две сети с одинаковым программным обеспечением.

В рамках доклада на Всемирном конгрессе хакеров Нол и Браунлейн намерены продемонстрировать примеры нескольких атак с эксплуатацией ошибок в платежных протоколах ZVT и Poseidon, используемых терминалами. По словам Нола, протокол ZVT используют порядка 90% устройств, поэтому уязвимость затрагивает подавляющее большинство терминалов.

Проэксплуатировав ошибки в протоколе ZVT атакующий может получить PIN-код кредитной карты жертвы, а также всю информацию, содержащуюся на магнитной ленте. Как оказалось, любой платежный терминал, предоставленный операторами, использует для подписи сообщений один и тот же ключ.

Атака происходит следующим образом: злоумышленник отправляет на терминал имитирующее легитимное сообщение с просьбой ввести PIN-код, ждет, пока жертва не начнет транзакцию, а затем отправляет вредоносные команды. В результате, атакующий становится обладателем PIN-кода и данных магнитной полосы кредитной карты.

«Раньше мошенники использовали уязвимости в программном обеспечении. Для устранения проблем требовалось просто загрузить обновление. Мы взламываем сам протокол, то есть устройство работает в нормальном режиме, но при этом остается уязвимым. В результате данную проблему нельзя решить с помощью патча - придется перенастраивать всю систему», - пояснил Нол в интервью изданию Motherboard.

«Те, кто несет ответственность за пробелы в безопасности, в том числе банки, признают существование проблемы, однако принимать меры для ее решения не спешат. Они говорят, что подобных случаев мошенничества пока не зафиксировано - но ведь это лишь вопрос времени! Своим бездействием они только усугубляют ситуацию», - подчеркнул специалист.