Специалисты продолжают удивляться, как хакеры умудряются начать практическое
использование методов, которые ещё год назад признавались только теоретически
возможными, да и то в узкой академической среде. Теперь они научились снимать
PIN-коды с наших карточек, не проникая непосредственно в банкомат, которым мы
пользуемся. Для этого достаточно найти слабый узел в сети, по которой идут
пакеты от банкомата к банку.

Подозрения, что злоумышленникам стала доступна техника расшифровки PIN-кодов,
которые передаются в зашифрованном виде, были и раньше, но после публикации
отчёта 2009 Data Breach Investigations от компании Verizon они теперь впервые
официально подтверждены.

Оказалось, что зашифрованные пакеты, пока не попадут в банк назначения, на
своём пути проходят через множество аппаратно-шифровальных модулей (HSM) от
других банков. Из-за того, что эти HSM имеют разные настройки и режим работы,
пакеты с PIN-кодами приходится на каждом узле расшифровывать и заново
зашифровывать с новым открытым ключом, который действует в паре с закрытым
ключом этого конкретного HSM, доступным через API. Так вот, теперь хакеры
научились узнавать закрытый ключ HSM, если этот узел неправильно
сконфигурирован. Как только хакерам удаётся расшифровать один PIN-код, они легко
могут расшифровать весь массив PIN-кодов, которые проходят через этот HSM.

О практическом применении этой методики специалисты узнали только постфактум,
когда несколько месяцев назад начали расследовать прокатившуюся по всему миру в
2008-2009 годах волну фродовых снятий денег (до этого они заметили интерес к
теме на русских хакерских форумах, но не могли понять, с чем это связано).

На диаграмме показана статистика по количеству скомпрометированных банковских
счетов, в том числе карт-счетов (источник — Verizon). Как видим, это количество
уже вдвое превышает число жителей, например, России. На самом деле
скомпрометировано гораздо больше карточек, так что они уже сейчас составляют
заметный процент в общем количестве всех банковских карточек, имеющихся в
обращении.

А ведь зная пин-код, можно снять деньги не только с карточки, но напрямую с
банковского счёта пользователя, причём доказать мошенничество и вернуть деньги
потом будет предельно сложно.

По мнению экспертов Verizon, проблему можно решить только кардинальной сменой
инфраструктуры мировых платёжных систем. Фактически, новую систему нужно
создавать с нуля.



Оставить мнение