Επιστήμες / Πληροφορική & Internet

Γαλλία: ηλεκτρονική απάτη 680.000 δολαρίων μέσω MitM attack σε EMV κάρτες

20 Νοεμβρίου 2015

Gallia_UPΈνας γάλλος ερευνητής έλυσε μια υπόθεση τεσσάρων ετών, κατά την οποία απατεώνες έκλεψαν περίπου 680.000 δολάρια μέσω μιας επίθεσης man-in-the-middle (MitM). Η επίθεση αυτή σχεδιάσθηκε με σκοπό να αποτρέψει το PIN verification message κατά τη δεύτερη φάση της συναλλαγής, για τις Europay Master Visa Cards (ΕΜV) , που είναι γνωστές chip-and-PIN κάρτες και θεωρούνται πιο ασφαλείς από αυτές με την τεχνολογία της μαγνητικής λωρίδας που χρησιμοποιούν οι εθνικές  τράπεζες.

Παρόλο αυτά, οι ερευνητές δήλωσαν πως αυτές οι επιθέσεις δεν είναι πλέον πιθανόν να γίνουν επειδή έχει επινοηθεί ένας  νέος τρόπος ελέγχου ταυτότητας, που ονομάστηκε “Combined Data Authentication” ή CDA, καθώς και μια σειρά από network-level protections.

Σύμφωνα με ένα blog post που δημοσιεύθηκε στις 20 Οκτωβρίου, οι ερευνητές του Πανεπιστημίου του Cambridge στο Ηνωμένο Βασίλειο ανακάλυψαν ένα ελάττωμα που επέτρεπε σε εγκληματίες να χρησιμοποιούν κλεμμένες chip-and-PIN cards, χωρίς να γνωρίζουν το PIN τους. Κατά την περίοδο αυτή, οι ερευνητές παρατήρησαν ότι δεν θα ήταν δύσκολο για τους εγκληματίες να φτιάξουν μια μινιατούρα  της συσκευής MitM που χρειαζόταν για να συνδέονται με την κάρτα.

Ωστόσο, το επόμενο έτος μια γαλλικός τραπεζικός όμιλος έμαθε ότι πολλές κάρτες ΕΜV, που είχαν κλαπεί στη Γαλλία, είχαν  χρησιμοποιηθεί στο Βέλγιο. Αμέσως μετά τη διενέργεια παράνομων συναλλαγών με τη χρήση καρτών ΕΜV (η οποία έμοιαζε αδύνατη), ξεκίνησε έρευνα.

Ερευνητές ανακάλυψαν ένα ελάττωμα που επέτρεπε σε εγκληματίες να χρησιμοποιούν κλεμμένες chip-and-PIN cards, χωρίς να γνωρίζουν το PIN τους και παρατήρησαν ότι δεν θα τους ήταν δύσκολο να φτιάξουν μια μινιατούρα της συσκευής MitM που χρειαζόταν για να συνδέονται με την κάρτα.

Λέγεται ότι περίπου 600.000 € ($ 680.000 δολάρια) έχουν κλαπεί από τη διεξαγωγή 7.000 συναλλαγών χρησιμοποιώντας 40 τροποποιημένες κάρτες.

Σε μια ερευνητική εργασία που δημοσιεύθηκε από τους Γάλλους ερευνητές, θεωρείται ως η πιο εξελιγμένη και έξυπνη απάτη  καρτών.

Πηγή: secnews.gr