Известный ИБ-эксперт Сэми Камкар (Samy Kamkar), автор нашумевшего червя Samy, научился предсказывать, каким будет номер карты American Express после ее перевыпуска. Также исследователь собрал крошечное устройство, которому дал имя MagSpoof. Девайс, компоненты которого стоят порядка $10, способен не только предсказать номера карт, но и обманывать PoS-терминалы.

Крошечный MagSpoof, чьи габариты сопоставимы с размерами монеты, состоит из базовой платы, микроконтроллера Atmel ATtiny85, драйвера L293D H-Bridge, батарейки, светодиода, конденсатора, резистора, медной проволоки и кнопки. Собрать такое устройство нетрудно, к тому же Камкар опубликовал все исходные данные и инструкции в своем блоге. Однако без алгоритма, который разработал эксперт, гаджет почти бесполезен.

Камкар опасается обнародовать подробные данные о проведенном исследовании, так как это неминуемо повлечет за собой волну преступлений. Тем не менее, исследователь рассказал о сути обнаруженной проблемы, не вдаваясь при этом в частности.

Всё началось с того, что в августе 2015 года Камкар потерял свою карту American Express. Получив по почте перевыпущенную карту, он заметил некую странность в последних цифрах ее номера. Камкар сравнил номер новой карты с номерами трех предыдущих (да, он записывает и хранит номера старых карт) и обнаружил систему.

Воодушевившись, исследователь обратился к своим друзьям в Facebook с просьбой прислать ему последние цифры номеров их действующих и уже отмененных карт American Express. Ему ответили десять человек, предоставив больше данных для работы. Как это ни парадоксально, но выявленная экспертом система подошла и картам друзей. Камкар осознал, что нашел способ предсказать полный номер следующей карты American Express.

Было понятно, что находка представляет опасность. Если злоумышленник уже похитил данные о карте, то он легко сможет предсказать, каким будет номер после перевыпуска, когда пользователь заблокирует украденную карту. Останется только вычислить новый срок действия, что совсем не сложно, если преступник знал срок действия предыдущей карты. Получается, что хакеры смогут похищать данные о картах с той же скоростью, с которой American Express их генерирует.

Спустя три месяца Камкар создал устройство MagSpoof, чтобы автоматизировать процесс генерации номеров и наглядно продемонстрировать American Express, какую опасность может представлять подобный алгоритм. Девайс способен хранить данные о сотне банковских карт. Кроме того, MagSpoof излучает сильный электромагнитный сигнал, с помощью которого можно обмануть сенсор считывающего устройства: MagSpoof посылает беспроводной сигнал, который имитирует физическое сканирование карты.

Исследователь признает, что данная атака не позволяет узнать четырехзначный CVV-номер, из-за чего область применения атаки сокращается. Еще один минус: MagSpoof совершенно не похож на банковскую карту, так что просто передать его для оплаты кассиру или официанту не выйдет. Впрочем, Камкар отмечает, что также можно использовать и цифровые устройства для хранения карт, такие как Coin. Это вызовет куда меньше подозрений.  Видеоролик демонстрирует именно такую технику:

Камкар рассказал изданию Wired, что связывался с представителями American Express уже несколько раз. Далеко не сразу, но ему все-таки удалось побеседовать с инженером компании, который заверил, что предсказание будущих номеров карт не представляет опасности (во всяком случае, не до такой степени, чтобы что-то исправлять). В American Express считают, что пользователи защищены от атаки Камкара дополнительной защитой, то есть дополнительным кодом защиты, который содержится в магнитной полосе, и chip-and-PIN технологией, которая как раз активно внедряется в США.

Эксперт говорит, что в некоторых случаях дополнительный код действительно способен блокировать атаку с предсказанием номеров. Но он еще не разобрался до конца, с какими PoS-терминалами работает атака. К примеру, исследователю без проблем удалось осуществить атаку в двух ресторанах (разумеется, в эксперименте он использовал собственные банковские карты), что демонстрирует видеоролик выше.

Зато Камкар готов поспорить с тем, что технология chip-and-PIN способна защитить от разработанной им атаки. Дело в том, что это уже проблема коммуникации между MagSpoof и считывающим устройством. Когда хакерский девайс посылает ридеру сигнал «no-chip», терминал может принять карту даже в том случае, если на самом деле она оснащалась чипом.

Исследователь убежден, что компании American Express стоит как можно скорее исправить эту проблему. Хотя сам Камкар пока не намерен обнародовать подробности работы своего алгоритма, он уверен, что другие хакеры могут самостоятельно создать эксплоит:

«Я вовсе не взломал какой-то псевдорендомный генератор чисел. На самом деле, все достаточно очевидно. Мне не доводилось слышать, чтобы ранее кто-то другой уже обнаруживал данную проблему, но будет удивительно, если кто-нибудь, кроме меня, до этого не додумался».

Фото: Images Money 



Оставить мнение