Уязвимость связана с перехватом пакетов по сетевому кабелю, связывающему банкомат с банковскими системами. Устройство устанавливается злоумышленниками «в разрыв» кабеля и позволяет перехватывать передаваемые данные карт.

 

Стоимость такого микрокомпьютера в сборе не превышает $50.

Для получения PIN-кода карты в банкоматах NCR используется классическая скимминговая накладка на клавиатуру, а в банкоматах Diebold — миниатюрная скрытая камера. Эксперты считают, что для перехвата данных используется модифицированный микрокомпьютер Raspberry PI с двумя сетевыми разъемами и WiFi-адаптером, оснащенный операционной системой Kali Linux с установленным ПО для перехвата данных Wireshark. Стоимость такого микрокомпьютера в сборе не превышает $50.

Как такая схема стала возможной? Теоретически при передаче данных карты должно использоваться шифрование, и перехват пакетов был бы бесполезен до того момента, как скиммеры подобрали бы 256-битный AES-ключ (что даже с использованием квантовых компьютеров для перебора вариантов потребовало бы 10,79*1018 лет, в 785 млн раз больше, чем возраст видимой части вселенной). Однако PCI DSS 4.1 требует использования шифрования только при использовании открытых каналов, а сети банкоматов и EMV считаются интранетом — закрытыми внутренними сетями банков. Поэтому данные карт по ним передаются… вообще без шифрования.

Мало того, зарубежные эксперты по безопасности полагают, что эта уязвимость и не будет исправлена. Они считают, что проблема заключается в большом количестве банкоматов и POS-терминалов, что делает внедрение средств шифрования слишком дорогим — ведь недостаточно просто разработать криптографическую платформу, необходимо обеспечить поддержку работы с ней всем «зоопарком» устройств, которые приходится поддерживать банку.

Приоритеты развития и подводные камни банкинга по версии CSI. Ежегодное исследование Computer Services Inc. (CSI) посвящено изучению инициатив и основных направлений, определяющих стратегию развития финансовых институтов в начавшемся году. Издание The Financial Brand подготовило краткое изложение этого отчета, включающего данные опросов и анализ проблем, привлекающих внимание мировых банков и кредитных союзов.

Производители банкоматов знают о такой уязвимости и считают, что эти атаки — логическое продолжение классических скимминговых схем, бороться с которыми довольно эффективно помогают защитные накладки на щель приема карт. В NCR банкам рекомендуют проверять на надежность все точки, где данные карт могут быть поставлены под угрозу, и прятать сетевые кабели и соединения, чтобы они были недоступны посторонним.