Zlecone: Skimming kart chipowych

W prezentacji zatytułowanej "Credit Card skimming and PIN harvesting in an EMV world" (http://dev.inversepath.com/download/emv/emv_2011.pdf) udowodniono, że karty elektroniczne (EC) i karty kredytowe wyposażone w układ w standardzie EMV nie są odporne na skimming, czyli przechwytywanie danych karty i numeru PIN. Opisano jak w łatwy sposób można podsłuchać i zmanipulować komunikację między terminalem a chipem, aby wymusić weryfikację offline z transmisją w tekście jawnym, umożliwiającą odczytanie sprawdzanego numeru PIN.

Co prawda, aby skorzystać z przechwyconego numeru PIN, skimmer musi albo ukraść kartę klientowi, albo dodatkowo odczytać pasek magnetyczny i stworzyć kopię karty. Szczególnie niepokojące jest jednak to, że jak się okazuje, nie ma znaczenia czy karta zawiera tani chip pozbawiony własnej funkcji kryptograficznej (SDA), czy drogi i uchodzący obecnie za bezpieczny układ z mechanizmem DDA (Dynamic Data Authentication). Niestety problem tkwi w błędzie specyfikacji protokołu EMV co oznacza, że niełatwo będzie zamknąć tę lukę.

Więcej informacji znajduje się na stronie http://www.heuthes.pl.

HEUTHES jest producentem systemu GRYFCARD do pełnej obsługi operacji kartowych. System jest wdrożony w szeregu banków, który zapewnia współpracę pomiędzy centrum rozliczeniowym kart a systemem księgowym w trybie on-line oraz off-line. Rozwiązanie umożliwia elektroniczny obieg wniosków związanych z obsługą kart, a także dostarcza operatorom informacji o kartach i operacjach kartowych.

Źródło informacji: HEUTHES Sp. z o.o.