Сотни миллионов платежных смарт-карт европейцев содержат уязвимость, эксплуатируя которую злоумышленники могут совершить банковскую транзакцию, даже не зная правильного пин-кода украденной или потерянной карты, говорится в исследовании Кембриджского университета (Великобритания).

Как известно, платежные смарт-карты стандарта EMV (Europay, MasterCard, Visa) содержат микросхему, проверяющую корректность вводимого четырехзначного пин-кода. EMV-стандарт также предусматривает альтернативный способ подтверждения транзакции не пин-кодом, а подписью владельца карты. Эксперты обнаружили, что EMV-протокол содержит «дыру», позволяющую обмануть систему, заставив ее считать, будто авторизация произведена подписью, хотя на самом деле вводится пин-код, который может быть совершенно любым.

На практике взлом происходит следующим образом.

Украденная или потерянная, но рабочая карта вставляется в устройство чтения, подсоединенное к компьютеру, на котором запущена управляющая программа. Программа контролирует работу программируемой пользователем вентильной матрицы (FPGA). Последняя, в свою очередь, подключена к переносному платежному терминалу, в который вставлена поддельная карта, по внешнему виду ничем не отличающаяся от настоящей. Для осуществления транзакции злоумышленнику достаточно ввести любой пин-код, чтобы банковская система, полагающая, что авторизация производится подписью владельца, списала средства с рабочей карты.

Утверждается, что при желании можно избежать громоздкого оборудования, изготовив незаметную карманную систему, осуществляющую обмен данными между настоящей и поддельной картами по беспроводному интерфейсу.

По мнению исследователей, банкам следует перестать убеждать своих клиентов в полной безопасности системы платежных смарт-карт, общее число которых насчитывает около 730 млн.

Репортаж, посвященный обнаруженному способу взлома платежных смарт-карт: