PIN nie chroni kart, możliwe kradzieże
fot: flyfloor/iStockphoto
Naukowcy Uniwersytetu Cambridge ujawnili słabość zabezpieczenia popularnych kart kredytowych i płatniczych numerem PIN - informują brytyjskie media i liczne portale internetowe.
Okazuje się, że za pomocą niezbyt skomplikowanych środków można sprawić, iż karta z elektronicznym chipem przyjmie każdy PIN i transakcja zostanie dokonana. Wystarczy przechwycić elektroniczną komunikację między kartą a czytnikiem i - za pomocą komputera - przekazać terminalowi informację, że karta zaakceptowała wprowadzony PIN. Konkretnie chodzi o kod 0x9000, zawsze ten sam, potwierdzający poprawność PIN.
Metoda ta nie działa w przypadku bankomatów, ponieważ tam weryfikacja PIN dokonuje się na serwerach banku. Jednak ujawniona luka w zabezpieczeniu tłumaczy wiele przypadków posłużenia się przez złodziei kradzionymi kartami do robienia zakupów. Coraz mniej wiarygodne stają się zapewnienia banków, że winę ponoszą klienci, którzy nie pilnowali swych numerów PIN, udostępniali je osobom trzecim itp.
Brytyjscy naukowcy uważają, że cały standard zabezpieczeń EMV (nazwa nawiązuje do popularnych kart: Eurocard, Mastercard i Visa), który zastąpił rozpracowane przez oszustów paski magnetyczne, jest do niczego, zawiera jeszcze wiele luk mogących ułatwić życie przestępcom, więc wymaga gruntownej rewizji.
ZOBACZ TAKŻE:
- Czyścili konta za pomocą sfałszowanych kart
- Skaner na bankomacie. Złodzieje ukradli numery kart i PIN-y
tagi
Zagrożenie wcale nie jest realne. Wystarczy zastanowić się nad tym, kto
może taki atak przeprowadzić
http://www.e-klapa.org/index.php/2010/02/zlamano_zabezpieczenia_kart_platn
iczych_z_chipem/
Oczywiscie ze banki beda zawsze widzialy wine po stronie klienta nawet
jesli jest urojona, bo informacje na temat przechwytywania PINow sa i
napewno dobrze znane, warto weryfikowac odpowiedz banku na reklamacje
wzgledem takich kradziezy, bo to w gruncie rzeczy bank ponosi
odpowiedzialnosc za bezpieczenstwo narzedzi ktore przeciez sprzedaje
klientom, jak karty.
banków i ich zawodnych systemów...jednak o tym już nie napiszą.
Coraz mniej wiarygodne stają się zapewnienia banków, że winę ponoszą
klienci, którzy nie pilnowali swych numerów PIN, udostępniali je osobom
trzecim itp.
ale niestety ww badania naukowców z Cambridge i cytowana mniejsza
wiarygodność zapewnień banków bardzo długo jeszcze nie wpłyną na wzrost
uznawalności przez te banki reklamacji takich transakcji przez klientów.
Prawda ?
przejmą jak uczy dotychczasowe doświadczenie :-(
Autoryzacja jest po stronie zdalnego serwera.
znajdzie się sposób by wykorzystać "tajne" dane.
bezgotowkowych, natomiast przy wyplacaniu pieniedzy z bankomatu
pin weryfikuje bank. Krakow to nie Cambridge. Doucz sie chlopak
i glupot nie wypisuj.
kanał internetowy po zalogowaniu się na swoje konto w banku
(robisz to bez udziału karty) - skąd jest brany PIN do
porównania przy płatności po takiej zmianie?