כרטיס האשראי שלך עם הצ'יפ והסיכה לא כל כך מאובטח; האקרים עשויים להשיג נשק חדש MagSpoof

קרדיט: ABCNews.go.com

אני זוכר שזה היה לפני כשנה כשהבנק שלי (בנק קניה מקומי) שלח דוא'ל מדאיג והריץ מודעות שאמרו ללקוחות ללכת על חיוב חדש או Chip & Pin או כרטיסי אשראי. הסיבה שניתנה הייתה כי כרטיסי האשראי / החיוב הישנים היו פחות מאובטחים, והבנקים מאמצים את הדור האחרון של הכרטיסים המצוידים במכשירי צ'יפ אנד פין כדי להגן עלינו טוב יותר מפני האקרים וגנבי זהות.

בקושי שנה מאז, נראה שהאקרים עשויים לעקוף את עצמם באמצעות מה שמכונה אמצעי ההגנה של צ'יפ אנד פין, וכעת הם יכולים להמשיך את יום השדה שלהם אם במקרה תעזוב או תשתמש בכרטיס שלך בצורה לא בטוחה. לפני שתתחיל לדאוג, ההישג הזה נעשה בצורה של פריצה לכובע לבן; לפיה מומחה אבטחה מחפש ניצולי אבטחה במערכת אבטחה.

סמי Kamkar הוא האקר כובעים לבן כזה ולפי Softpedia, הוא ממציא בעל שם כלי פריצה רבים. ההמצאה האחרונה שלו, מגספווף הוא מכשיר קטלני מאוד אם אי פעם ייפול לידיים הלא נכונות. יש לומר כי מכשיר זה יכולת לקרוא במדויק ולחזות מספרי כרטיסי אשראי ולעקוף את אמצעי ההגנה של הצ'יפ אנד פין המוטמעים בדור הכרטיסים האחרון.



האקר שיהיה יכול לנתח את השדה המגנטי המיוצר מהרצועה המגנטית של הכרטיס ולאחסן את המידע המתקבל ב- MagSpoof. פסים מגנטיים נתונים משמשים לאימות עסקאות כרטיסים, ומספר הכרטיס בין פרטים אחרים מקודד בתוך הרצועה המגנטית.

חילוץ נתונים מהרצועה המגנטית הוא ככל הנראה החלק הקל ביותר מכיוון שהאקר יכול פשוט להשתמש בקורא פס מגנטי. הם יכולים גם להשתמש בעין שלהם על ידי פיזור אבק מתכת על הפס המגנטי, ולמעשה כל אחד יכול לקרוא את הברקוד.

לאחר שהוציאו את מספר הכרטיס, הם מזינים אותו ל- MagSpoof שהמציא Kamkar. לאחר מכן ניתן למקם את MagSpoof בפשטות ליד קורא תשלומי PoS שקורא פסי מגנטיות מכרטיסי אשראי / חיוב כדי לסיים עסקה.

עם זאת כדי לבצע את העסקה, MagSpoof יצטרך לשחזר שדה מגנטי הדומה לפס המגנטי של הכרטיס הגנוב. MagSpoof יכול לעשות זאת באמצעות נתוני הפס המגנטי שהוזן, והוא יחקה את השדה המגנטי של הכרטיס אם כי בעוצמה גבוהה יותר. השדה המגנטי האינטנסיבי הגבוה שנוצר יאפשר להאקר להפעיל תשלום גם בלי להתקרב מספיק לקורא הפס המגנטי במכונת PoS. במילים אחרות, האקרים אפילו לא צריכים להחליף כרטיס, הם יכולים לעשות את ההחלקה מרחוק ואלחוטית.

קמקר אומר עוד כי ה- MagSpoof יכול לאחסן נתוני פס מגנטי מכמה כרטיסים בו זמנית. המכשיר יכול גם להשבית את אמצעי ההגנה של הצ'יפ אנד פין בכרטיס. דרישות ה- PIN מוטבעות כקצת בתוך הפס המגנטי של הכרטיס ומשמשות כדי לומר לקוראי הכרטיסים לבקש קוד PIN. MagSpoof יכולה לעקוף את אמצעי האבטחה הזה על ידי אמירת הקורא כי לכרטיס אין תמיכה בשבב & פין.

אם בעל כרטיס האשראי / חיוב מדווח על הכרטיס כחסר ומבקש החלפה. קמקר אומר שהוא הציע אלגוריתם שמאפשר ל- MagSpoof לחזות את מספר כרטיס האשראי הבא שהונפק למשתמש.

MagSpoof יכול לחזות את מספר הכרטיסים הבא ברמת דיוק גבוהה בגלל החיזוי של המערכת המשמשת לייצור כרטיסי אשראי / חיוב חלופיים על ידי המנפיקים. במילים פשוטות, גם אם הכרטיס האבוד / הגנוב שלך בוטל, האקרים יכולים להתאים את הפס המגנטי על MagSpoof באמצעות האלגוריתם של Kamkar ולחזות את מספר הכרטיס החדש שלך ברמת דיוק גבוהה.

אם הלכת לאיבוד איפשהו לאורך ההסבר לעיל, להלן סרטון שמסביר כיצד מכשיר MagSpoof עובד, מאת סמי כמקר עצמו.

עכשיו, זה החלק שאמור לדאוג אותך. ניתן להרכיב את מכשיר MagSpoof בעלות של כ- $ 10; כלומר כמעט כל אחד יכול להרשות לעצמו את זה. ניתן למצוא את קוד המקור למכשיר ב- GitHub. אבל הממציא / מתכנת קמקר הדיר קוד חשוב שיהפוך אותו לאקדח טעון בידי האקרים של הכובעים השחורים, שכנראה ירצו לבצע הונאה עם המכשיר. קמקר ביצע בדיקה מוצלחת במכשיר באמצעות הכרטיסים שהונפקו על ידי אמריקן אקספרס.