[su_heading size=”18″ margin=”40″]Οι απατεώνες μπορούν να ξεγελάσουν τους ανυποψίαστους χρήστες ώστε να παραδόσουν τα PIN των πιστωτικών τους καρτών[/su_heading]
Κατά τη διάρκεια του συνεδρίου ασφάλειας Black Hat USA 2016, παρουσιάστηκε μια νέα μέθοδος υποκλοπής στοιχείων πιστωτικών καρτών από συστήματα PoS, η οποία μπορεί να οδηγήσει σε επιτυχή απόκτηση των κωδικών PIN και CVV ανυποψίαστων χρηστών.
Η συγκεκριμένη μέθοδος επίθεσης παρουσιάστηκε από τους ερευνητές Nir Valtman και Patrick Watson της NCR Corporation, που συγκαταλέγεται μεταξύ των κορυφαίων προμηθευτών ΑΤΜ και POI hardware.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Οι Valtman και Watson παρουσίασαν έναν τύπο επίθεσης Man-in-the-middle που μπορεί να εφαρμοστεί τόσο σε επίπεδο hardware όσο και σε επίπεδο λογισμικού.
Η συγκεκριμένη επίθεση μπορεί να πραγματοποιηθεί μέσω ειδικού hardware που τοποθετείται μεταξύ του PIN pad ή του card reader και του υπολογιστή που τρέχει το λογισμικό POS.
Αυτή η συσκευή ενεργεί ως ενδιάμεσος, παρακολουθώντας και αποθηκεύοντας τα δεδομένα που ανταλλάσσονται μεταξύ των δύο μερών, όπως αριθμούς πιστωτικών καρτών, ονόματα κατόχων, και τις ημερομηνίες λήξης των καρτών.
[su_note note_color=”#d7dfe0″ radius=”7″]Η επίθεση λειτουργεί επειδή οι συσκευές POI, όπως οι card readers και τα PIN pads, δεν κρυπτογραφούν τα δεδομένα που αποστέλλονται προς το λογισμικό PoS.[/su_note]
Οι επιτιθέμενοι μπορούν να ξεγελάσουν τους χρήστες ώστε να παραδώσουν τους κωδικούς PIN και CVV των καρτών τους
Λόγω της προνομιακής θέσης του hardware που χρησιμοποιείται, είναι εφικτό να επιτραπεί η πραγματοποίηση της νόμιμης συναλλαγής και στη συνέχεια να ζητηθεί από τους χρήστες να συμπληρώσουν και πάλι τον κωδικό PIN, ή τον κωδικό ασφαλείας της κάρτας τους (CVV). Εάν οι χρήστες κάνουν το λάθος να εισάγουν ξανά τα στοιχεία τους, τότε αυτά θα καταλήξουν στα χέρια των επιτιθέμενων.
[su_note note_color=”#d7dfe0″ radius=”7″]Aκόμη και στην περίπτωση που η τοποθέτηση hardware δεν είναι εφικτή, οι ερευνητές αναφέρουν ότι η επίθεση μπορεί να επιτευχθεί μέσω της χρήσης ειδικά διαμορφωμένου κακόβουλου λογισμικού, το οποίο μπορεί να εισχωρήσει κακόβουλο κώδικα στο αρχείο DLL μιας νόμιμης εφαρμογής PoS και να ζητήσει στη συνέχεια τους κωδικούς PIN και CVV των χρηστών.[/su_note]
Για την αντιμετώπιση αυτών των επιθέσεων, οι ερευνητές συνιστούν στους προμηθευτές την εφαρμογή κρυπτογράφησης P2PE POI (Point-to-Point Encryption) στις συσκευές τους. Επιπλέον, οι χρήστες θα πρέπει να είναι ιδιαίτερα προσεκτικοί όταν κάνουν συναλλαγές, και δεν θα πρέπει να εισάγουν ξανά τον κωδικό PIN αν τους ζητηθεί ή τον κωδικό CVV τους, ο οποίος απαιτείται μόνο για online πληρωμές.
