Videó: How to Swipe Like @teejayx6 FREE GAME💪🏽JULY 2020(read desc.) (November 2024)
Amerikai olvasóink számára a hitelkártyával történő fizetés mágnescsík ellopását jelenti. De Európa és más országok nagy része számára ez azt jelenti, hogy behelyezik a chipkártyát az olvasóba és beírják a PIN-kódját. Ezt az úgynevezett chip- és PIN-megoldást már régóta olyan messze meghaladták, mint az amerikai ellop, és a legtöbb módon az. Van azonban néhány komoly probléma a rendszer végrehajtásával kapcsolatban.
Ross Anderson ismertette csapata történetét, amikor a fekete kalapban a chip- és PIN-kártyákat vizsgálta. Andersonnak meglepő összege volt egy olyan rendszer számára, amelyet nehezebb csalni.
A hibák kavalkádja
Gyors frissítés a chipen és a PIN-kódon: a fogyasztók behelyezik kártyáikat vásárláskor. Ezután beírják a PIN-kódot, amelyet az eszköz kártya megerősít - ha működik, a PIN-kód soha nem hagyhatja el az olvasót. A kártya ezután megbeszélést folytat a bankkal az ügylet hitelesítéséhez, és az eladás megtörténik. Papíron mindent jól hangzik.
Anderson átnézett számos, az általa és a csapata által észlelt, nem megfelelő helyzetű sebezhetőséget, és azokat, amelyeket először vadonban megfigyeltek, majd a biztonsági szakértők fordítottak elő.
Sok támadás a kereskedők által tranzakciók végrehajtására használt eszközökre és az ATM-ekre összpontosult. Csapatának azt találta, hogy valójában számos eszközt nem igazítottak azon biztonsági előírásokhoz, amelyeket állításuk szerint követtek. Minimális erőfeszítéssel azt mondta, hogy eladás közben megcsavarozhatják az eszközöket és kinyerhetik a PIN-kódot.
Más támadások során Anderson „gonosz elektronikának” nevezett olvasókat telepített az olvasókra, hogy rögzítsék az ügyleti adatokat. Az egyik esetben a csalók a kártyaolvasókba telepítették gonosz áruikat, még mielőtt azokat a kereskedőknek átadták volna.
De volt sok más támadás is, például a választógépek beágyazása közvetlenül a chip- és PIN-kártyákba, a kártyák rejtett eszközökhöz való csatlakoztatása, amelyek lehetővé tették a tolvaj számára, hogy bármilyen véletlenszerű kóddal felhatalmazzák a kártyát, sőt, olyan támadások is, amelyek különböző helyszíneken "visszajátszottak" tranzakciókat.
Technikailag kiváló, gyakorlatilag problematikus
Megkérdeztem Andersont, hogy az összes chippel és pin-lel talált hibája után még mindig azt gondolja-e, hogy ez jobb az ellop kártyáknál. Egyértelmű volt: a chip- és PIN-kártyák technikailag jobbak, egyszerűen azért, mert ezeket sokkal nehezebb klónozni, mint az ellop kártyákat.
A nagyobb probléma az, hogy mikor vezettek be a chipet és a PIN-kódot Európában. Anderson elmondta, hogy az európai kereskedők cseréjéhez a bankok megígérték a kereskedőknek, hogy felelnek a csaló díjakért. Ellop kártyákkal a hamis díjat egyszerűen megfordítják a kereskedőnek. Anderson ezt "a felelősség átalakításának" hívta.
Jó tervnek hangzik, de a valóság meglehetősen kegyetlen volt. Anderson elmondta, hogy a csalások áldozatait gyakran a bankok vádolják, akik azzal vádolták őket, hogy valamelyiküknek felfedték PIN-kódjukat. Más esetekben a bankok egyszerűen meggondolták magukat és megfordították a kereskedőket terhelő költségeket. Szélsőséges esetekben a bankok és a hitelkártya-társaságok nyilvánvalóan zavarból elutasították az ismert csalókkal szembeni vádakat.
Úgy tűnt, senki sem akart felelősséget vállalni a chip- és PIN-kód csalásokért. Anderson megkérdezte: "Ha a bank nem fizet a csalásért, akkor miért csinálnának egy bélt, hogy biztonságban maradjon?"
Anderson azt is kritizálta, hogy a chip és a PIN dokumentáció szerzői nem voltak világos látásmódjuk, és a dokumentáció spirálját ellenőrzés alól hagyták. A szokások tragédiájának nevezte, és megjegyezte, hogy senki sem lépett előre egy frissített verzió készítésére, amely valóban elvégezheti a szabvány biztonsági változásait.
Amerikába jön
Amerikai olvasóink, elégedettek ellopókártyáikkal, elgondolkodhatnak azon, hogy miért számítanak nekik egyáltalán. Ennek egy egyszerű oka van: a chip- és PIN-kártyák készen állnak arra, hogy behozzák az országba. Anderson elmondta, hogy a bankok készen állnak arra, hogy 2015-ig megtegyék az átmenetet.
Lehet, hogy a helyzet nem megy annyira rosszul ebben az országban. Egyrészt csak néhány bank választja a chip- és PIN-sémákat, mások pedig a chip- és aláírókártyákat dobják ki. Ezt a hitelesítési tervet Szingapúrban használták, és célja a nagyobb fogyasztóvédelem. Anderson azt is megjegyezte, hogy a Federal Reserve szerepe az amerikai bankügyletekben szintén nagyobb fogyasztóvédelmet kínál - feltételezve, hogy a közeljövőben ez nem drasztikusan romlik.
Azt is szerepe volt, hogy a Black Hat közönség játszhat. "nem egyetlen protokoll; ez egy nagy, véletlenszerű, ügyes eszközkészlet a fizetési protokollok készítéséhez" - mondta. "Találhat valamit, ami igazán biztonságos, vagy valami, ami igazán véresen szörnyű."
Reméljük, hogy megkapjuk az előzőt.
