О сколько нам аутентификаций чудных… Не так давно порталы по инфобезу облетела новость: СБУ задержали команду кардеров, которые занимались изготовкой и продажей устройств для скимминга. Считывая данные с магнитной ленты карты и фиксируя вводимый пин-код, скиммеры позволяли злоумышленникам проводить практически любые махинации с пластиковыми картами. «Ну и что особенного в этой новости?», - скажут многие, и будут правы. В последнее время новостей об этом виде преступлений в Украине и России становится все больше. Кардинг постепенно набирает обороты, и очевидно, что типичная аутентификация с помощью пин-кода сегодня никого не остановит. Есть ли альтернатива? Само собой. О наиболее интересных и надежных способах не стать жертвой кардеров мы сегодня и поговорим. Биометрическая аутентификация Новинка из Японии. Система, разработанная Ogaki Kyoritsu Bank, позволяет не просто пользоваться карточкой после сканирования отпечатков пальцев. Получить доступ к счету можно всего лишь приложив ладонь к сенсорной панели, наличие при себе кредитки совсем не обязательно. Система начнет работать в сентябре этого года. Кроме того, по-прежнему остаются популярны классические системы биометрической аутентификации: проверил отпечаток – получил возможность пользоваться карточкой. Плюсы такого подхода очевидны: чтобы получить доступ к счету, нужно быть конкретным человеком, и никак иначе. Однако отсюда же следует и недостаток Сложности также могут возникнуть при оборудовании терминалов для биометрической аутентификации. Опыт производства и внедрения подобных устройств для широкой аудитории практически отсутствует, и затраты переоборудование банкоматов тоже необходимо учитывать. А люди у нас не привыкли даже к пользованию электронной валюты, и уж тем более непривычной будет работа с отпечатками пальцев. Кроме того, еще в 2008 году было получено устройство Biologger, который позволяет скопировать необходимые для доступа отпечатки пальцев. Повсеместное распространение биометрической аутентификации приведет всего лишь к перепрофилированию кардеров, так что использование этого метода защиты – временное решение. К тому же, никто не отменял классических сценарий ужастиков и боевиков, когда при необходимости биометрического доступа преступники просто отрезали необходимые части тела. Двухэтапная аутентификация Весьма популярный способ подтверждения прав доступа. Сейчас используется практически везде: от электронной почты до онлайновых платежных систем типа Webmoney или Яндекс.Денег. Думаю, все сталкивались с такой реализацией – на телефон приходит SMS с кодом, после ввода которого можно получить доступ к необходимому сервису. Способ прост в реализации и не требует установки каких-либо дополнительных устройств – достаточно лишь немного дописать программную начинку банкомата, а мобильные телефоны сейчас есть у каждого. Однако с распространением смартфонов начали появляться и программы-перехватчики SMS, которые в сочетании с классической схемой скимминга дают злоумышленникам полные права доступа. Правда, на один раз – по прилетевшей SMS жертва мошенников будет знать о несанкционированном доступе к счету. Но как ни странно, эта проблема имеет очень простое решение – использование устаревших моделей телефонов без полнофункциональных ОС. Троянца на такой аппарат не закинуть, а для перехвата SMS придется использовать мощные устройства, которые применяются в спецслужбах. И чаще всего затраты на такой перехват сообщений не окупят возможную прибыль мошенников. NFC-чипы и эмуляция карт Технология беспроводной передачи данных NFC известна еще с 2003 года, однако активно применяться начала совсем недавно. Особенно такая возможность передавать небольшое количество информации на очень малое расстояние пришлась по нраву банкам - мобильные устройства, которые поддерживают использование NFC-чипов, стали использовать для эмуляции пластиковых карт. Выглядит такая система очень удобно: пользоваться карточкой не обязательно, достаточно просто поднести к считывающему устройству смартфон и таким нехитрым способом воспользоваться банкоматом, оплатить покупку и т.д. Технология сочетает в себе и стандартную аутентификацию через пароль, и двухэтапную – через наличие доступа к телефону. Но тогда возникает резонный вопрос: какой смысл в использовании NFC-чипа, если фактически он работает по принципу обычной авторизации через SMS, только код вводить не надо? Удобно, не спорю, но с точки зрения безопасности разницы нет – при наличии доступа к телефону злоумышленник может точно также воспользоваться картой. Этот минус мог бы быть компенсирован отсутствием обнаруженных уязвимостей, но это не так. Телефон на Android с NFC-чипом уже взломан. В первом случае с помощью фальшивого считывающего устройства были перехвачены данные, которые передавались от эмулятора карты к банкомату, а во втором – получен доступ к самому телефону. А это снова возвращает нас к классической схеме кардинга – внедрить в банкомат скиммер, который украдет все данные, необходимые для доступа к карте. Меняется лишь технология, но принцип остается тот же. И повсеместное использование новой методики взлома – лишь дело времени. А как ни странно, но при наличии такого обилия новых технологий наиболее простой, надежной и доступной для каждого остается двухэтапная аутентификация с помощью SMS. Автор: Алексей Дрозд, заместитель PR-директора компании SearchInform Дата: 18 января 2013 Источник: http://securityinform.blogspot.ru/2013/01/blog-post_18.html
Отказ от карт с магнитной полосой в пользу пластиковых карт с чипом, усложнили бы жизнь кардерам. Но банки жмотятся на переоборудование банкоматов и прочего оборудования.
