Хакер #305. Многошаговые SQL-инъекции
В последнее время кардеры начали брать на вооружение новую разновидность
скимминга — шимминг. В соответствии с названием (shim — тонкая прокладка),
вместо традиционных громоздких накладок на щель приёмника пластиковых карт
банкоматов (скиммеров), в шимминге используется очень тонкая, гибкая плата,
внедряющаяся через эту щель внутрь банкомата, сообщает специалист Cisco Systems
Джейми Хири в своём блоге Cisco Security Expert.
"Шим" подсаживается при помощи специальной карты-носителя: её просовывают в
щель банкомата, где тонкий "шим" подсоединяется к контактам, считывающим данные
с карт, после чего карта-носитель удаляется. Дальше всё работает, как и при
традиционном скимминге — т.е. со вставляющихся в банкомат пластиковых карт
тихонько считываются все важные данные, которые затем используются
злоумышленниками для производства карт-дубликатов и снятия с их помощью денег.
Единственное, но крайне важное отличие от скимминга состоит в отсутствии
каких-либо внешних признаков того, что в банкомате сидит "жучок".
Исходя из спецификаций, регулирующих размеры щели кард-ридера, толщина "шима"
не должна превышать 0,1 мм, поскольку иначе он будет мешать пластиковым картам.
Это примерно вдвое тоньше человеческого волоса. Кроме того, "шим" должен
обладать определённой гибкостью, иначе его невозможно будет внедрить в банкомат.
Конечно, это ещё не нанотехнологии, однако всё равно производство такой платы —
задача нетривиальная.
Однако по крайней мере у одной группировки кардеров уже имеются технические
средства для массового производства "шимов". По данным Хири, такое производство
уже налажено, и "шимы" широко используются "в определённых частях Европы".
Эксперт Cisco называет одну из главных причин того, что скимминг (и,
соответственно, шимминг) работает: в большинстве случаев данные, которыми
обмениваются пластиковые карты и банкоматы, идут в открытом, нешифрованном виде.
Тем не менее многие устройства для ввода PIN-кода поддерживают считывание этого
кода в зашифрованном виде (при помощи публичного ключа). Хири считает, что
использование этой возможности может стать преградой для злоумышленников.
Впрочем, кардеры всё равно чаще всего получают PIN-коды в открытом виде — при
помощи либо скрытых видеокамер, нацеленных на клавиатуру банкомата, либо
фальшивых клавиатур-накладок. Но в любом случае, проблема шимминга должна как-то
решаться на стороне производителей банкоматов. Даже если пользователи хорошо
изучили все меры противодействия скиммингу, от них нет никакой пользы при
шимминг-атаках.