Nasze pieniądze w wielkim niebezpieczeństwie. Okazuje się bowiem, że zabezpieczenia kart kredytowych i płatniczych numerem PIN są... nic nie warte. Za pomocą niezbyt skomplikowanych środków można sprawić, że karta z elektronicznym chipem przyjmie każdy kod PIN. Odkrycie brytyjskich naukowców może tłumaczyć wiele kradzieży.
Naukowcy Uniwersytetu Cambridge ujawnili słabość zabezpieczeń kart kredytowych - poinformowały brytyjskie media i liczne portale internetowe.
Żadna karta się nie obroni
Profesor Ross Anderson z Cambridge powiedział dziennikowi "Daily Telegraph", że jest to jedna z największych luk w systemie zabezpieczeń bankowych w historii. Dziennik "Independent" cytuje zaś innego członka zespołu, który oświadczył, że przed tą nową metodą oszustwa nie obroniła się żadna z kart kredytowych na rynku brytyjskim.
PIN to bowiem nie wszystko. Jego wprowadzenie miało zabezpieczyć banki przed oszustami, którzy rozpracowali poprzedni system zapisu danych na paskach magnetycznych. Elektroniczny chip uważano dotąd za barierę nie do pokonania, o ile właściciel nie zdradził się ze swoim numerem PIN.
Istotna luka w zabezpieczeniu
Tymczasem zespół informatyków z Uniwersytetu w Cambridge wykrył metodę dokonywania zakupów i pobierania pieniędzy z karty przy pomocy dowolnej kombinacji PIN. Dzieje się to dzięki elektronicznej "dezorientacji" łącza między terminalem w sklepie, a serwerem w banku.
Wystarczy przechwycić elektroniczną komunikację między kartą a czytnikiem i - za pomocą komputera - przekazać terminalowi informację, że karta zaakceptowała wprowadzony PIN. Konkretnie chodzi o zawsze ten sam, potwierdzający poprawność PIN - kod 0x9000.
A jednak wina banków
Metoda ta na szczęście nie działa w przypadku bankomatów, ponieważ tam weryfikacja PIN dokonuje się na serwerach banku. Jednak ujawniona luka w zabezpieczeniu tłumaczy wiele przypadków posłużenia się przez złodziei kradzionymi kartami do robienia zakupów. Coraz mniej wiarygodne stają się zapewnienia banków, że winę ponoszą klienci, którzy nie pilnowali swych numerów PIN, udostępniali je osobom trzecim itp.
Brytyjscy naukowcy uważają, że cały standard zabezpieczeń EMV (nazwa nawiązuje do popularnych kart: Eurocard, Mastercard i Visa), który zastąpił rozpracowane przez oszustów paski magnetyczne, jest do niczego, zawiera jeszcze wiele luk mogących ułatwić życie przestępcom, więc wymaga gruntownej rewizji.
Źródło: PAP, IAR
Źródło zdjęcia głównego: sxc.hu