Visa: regularne ważenie terminalu na karty chroni przed manipulacjami

Jak wynika z relacji medialnych, Visa wycofała swoją koncesję bezpieczeństwa dla dwóch terminali do obsługi kart płatniczych (3070MP01 i i3070EP01) produkowanych przez Ingenico. Przyczyną takiej decyzji była najprawdopodobniej udana manipulacja skimmerów, którzy używając dołączanej do urządzeń elektroniki, przechwytywali dane o kartach kredytowych i wprowadzanych kodach PIN, a następnie zapisywali je w celu późniejszego odczytania.

Visa: regularne ważenie terminalu na karty chroni przed manipulacjami
Źródło zdjęć: © Jupiterimages
SKOMENTUJ

Jak wynika z relacji medialnych (PDF), Visa wycofała swoją koncesję bezpieczeństwa dla dwóch terminali do obsługi kart płatniczych (3070MP01 i i3070EP01) produkowanych przez Ingenico. Przyczyną takiej decyzji była najprawdopodobniej udana manipulacja skimmerów, którzy używając dołączanej do urządzeń elektroniki, przechwytywali dane o kartach kredytowych i wprowadzanych kodach PIN, a następnie zapisywali je w celu późniejszego odczytania.

Zdyskredytowane w ten sposób PIN Pady (PIN Entry Device, PED) należały do starszego typu urządzeń stosowanych głównie w Stanach Zjednoczonych. Visa opublikowała także listę innych, niezgodnych z jej wymogami urządzeń, które szczególnie często odgrywają istotną rolę w atakach skimmingowych.

Obraz
© (fot. Jupiterimages)

Tego typu ataki nie są wprawdzie niczym nowym, ale według znawców branży zaskakujący jest sposób, w jaki zareagowała Visa. Pod raz pierwszy wymienieni zostali konkretni producenci i po raz pierwszy Visa przyznaje, że handlowcy stosujący się do PCI DSS stali się ofiarami ataków. Standard Payment Card Industry Data Security Standard (PCI DSS) formułuje wiele zasad bezpieczeństwa, które mają chronić przed atakami wymierzonymi w komputery i karty kredytowe.

Mimo tego, że liczba zdyskredytowanych terminali PED stale rośnie, według informacji z wewnętrznej notatki Visa traktuje wycofanie koncesji jedynie jako środek prewencyjny. Oprócz tego zaleca handlowcom gruntowne weryfikowanie tożsamości techników konserwacji takich urządzeń i nadzorowanie ich pracy. Oprócz tego dobrze jest od czasu do czasu ważyć terminale, aby w ten sposób wykryć ewentualne zmiany, które może spowodować wbudowanie dodatkowych (skimmerskich) podzespołów.

Ochronę może zapewniać także system uwierzytelniania dla terminali PED, w którym host stale sprawdza wewnętrzne numery seryjne, dostępność i integralność urządzeń. Dzięki temu nie jest możliwa np. potajemna wymiana urządzeń.

Jednak manipulacje w terminalach nie muszą wcale odbywać się w sklepie; pod koniec 2008 roku amerykańscy śledczy wraz z firmą MasterCard odkryli, że przestępcy dokonywali manipulacji już w fabryce. Mimo to urządzenia przeszły testy bezpieczeństwa i według relacji dziennika "Telegraph" zostały rozprowadzone w Europie w setkach egzemplarzy. Zebrane w ten sposób dane były wysyłane przez sieci komórkowe do przestępców w Pakistanie. W konsekwencji MasterCard wysłał do Europy wiele zespołów kontrolerów uzbrojonych w wagi, którzy mieli zidentyfikować zmanipulowane urządzenia.

wydanie internetowe www.heise-online.pl

bezpieczeństwo skimming płatności visa
SKOMENTUJ

Wybrane dla Ciebie

Nowa dostawa Su-35S. Rosja wyprodukowała więcej, niż straciła nad Ukrainą
Nowa dostawa Su-35S. Rosja wyprodukowała więcej, niż straciła nad Ukrainą
Bezpieczeństwo Polski. "NATO nie zaatakuje pierwsze"
Bezpieczeństwo Polski. "NATO nie zaatakuje pierwsze"
Ukryte jezioro i prehistoryczne ślady lawy na Saharze. Widać je z kosmosu
Ukryte jezioro i prehistoryczne ślady lawy na Saharze. Widać je z kosmosu
Koncepcja K9A3 już jest. Nowa wersja hitu eksportowego Korei Południowej
Koncepcja K9A3 już jest. Nowa wersja hitu eksportowego Korei Południowej
Wietnam i Rosja współpracują. W planach elektrownia atomowa i nie tylko
Wietnam i Rosja współpracują. W planach elektrownia atomowa i nie tylko
Polski astronauta nadal czeka na start. Są problemy z kapsułą Crew Dragon
Polski astronauta nadal czeka na start. Są problemy z kapsułą Crew Dragon
"Żniwiarze" z nowymi możliwościami. Tego chce USSOCOM
"Żniwiarze" z nowymi możliwościami. Tego chce USSOCOM
Przełomowe badania nad traumą. To może pomóc "oduczyć się" strachu
Przełomowe badania nad traumą. To może pomóc "oduczyć się" strachu
Rosjanie intensyfikują ataki. Ponad setka Shahedów nad Ukrainą
Rosjanie intensyfikują ataki. Ponad setka Shahedów nad Ukrainą
Wybrali nowy rząd. Zmieniają podejście do dostaw broni dla Ukrainy
Wybrali nowy rząd. Zmieniają podejście do dostaw broni dla Ukrainy
Podziemne rezerwuary wodne. Kolonizacja Marsa coraz bliżej
Podziemne rezerwuary wodne. Kolonizacja Marsa coraz bliżej
Nowy rosyjski pocisk S8000 Banderol rozebrany. Oto co skrywa
Nowy rosyjski pocisk S8000 Banderol rozebrany. Oto co skrywa