Visa: regularne ważenie terminalu na karty chroni przed manipulacjami

Jak wynika z relacji medialnych, Visa wycofała swoją koncesję bezpieczeństwa dla dwóch terminali do obsługi kart płatniczych (3070MP01 i i3070EP01) produkowanych przez Ingenico. Przyczyną takiej decyzji była najprawdopodobniej udana manipulacja skimmerów, którzy używając dołączanej do urządzeń elektroniki, przechwytywali dane o kartach kredytowych i wprowadzanych kodach PIN, a następnie zapisywali je w celu późniejszego odczytania.

Obraz
Źródło zdjęć: © Jupiterimages

Jak wynika z relacji medialnych (PDF), Visa wycofała swoją koncesję bezpieczeństwa dla dwóch terminali do obsługi kart płatniczych (3070MP01 i i3070EP01) produkowanych przez Ingenico. Przyczyną takiej decyzji była najprawdopodobniej udana manipulacja skimmerów, którzy używając dołączanej do urządzeń elektroniki, przechwytywali dane o kartach kredytowych i wprowadzanych kodach PIN, a następnie zapisywali je w celu późniejszego odczytania.

Zdyskredytowane w ten sposób PIN Pady (PIN Entry Device, PED) należały do starszego typu urządzeń stosowanych głównie w Stanach Zjednoczonych. Visa opublikowała także listę innych, niezgodnych z jej wymogami urządzeń, które szczególnie często odgrywają istotną rolę w atakach skimmingowych.

Obraz
© (fot. Jupiterimages)

Tego typu ataki nie są wprawdzie niczym nowym, ale według znawców branży zaskakujący jest sposób, w jaki zareagowała Visa. Pod raz pierwszy wymienieni zostali konkretni producenci i po raz pierwszy Visa przyznaje, że handlowcy stosujący się do PCI DSS stali się ofiarami ataków. Standard Payment Card Industry Data Security Standard (PCI DSS) formułuje wiele zasad bezpieczeństwa, które mają chronić przed atakami wymierzonymi w komputery i karty kredytowe.

Mimo tego, że liczba zdyskredytowanych terminali PED stale rośnie, według informacji z wewnętrznej notatki Visa traktuje wycofanie koncesji jedynie jako środek prewencyjny. Oprócz tego zaleca handlowcom gruntowne weryfikowanie tożsamości techników konserwacji takich urządzeń i nadzorowanie ich pracy. Oprócz tego dobrze jest od czasu do czasu ważyć terminale, aby w ten sposób wykryć ewentualne zmiany, które może spowodować wbudowanie dodatkowych (skimmerskich) podzespołów.

Ochronę może zapewniać także system uwierzytelniania dla terminali PED, w którym host stale sprawdza wewnętrzne numery seryjne, dostępność i integralność urządzeń. Dzięki temu nie jest możliwa np. potajemna wymiana urządzeń.

Jednak manipulacje w terminalach nie muszą wcale odbywać się w sklepie; pod koniec 2008 roku amerykańscy śledczy wraz z firmą MasterCard odkryli, że przestępcy dokonywali manipulacji już w fabryce. Mimo to urządzenia przeszły testy bezpieczeństwa i według relacji dziennika "Telegraph" zostały rozprowadzone w Europie w setkach egzemplarzy. Zebrane w ten sposób dane były wysyłane przez sieci komórkowe do przestępców w Pakistanie. W konsekwencji MasterCard wysłał do Europy wiele zespołów kontrolerów uzbrojonych w wagi, którzy mieli zidentyfikować zmanipulowane urządzenia.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie
Symulacja walki F-35 z Su-30. Nie chcą ujawnić, kto zwyciężył
Symulacja walki F-35 z Su-30. Nie chcą ujawnić, kto zwyciężył
Chiny rozmieszczają je na Pacyfiku. Widzą wszystko
Chiny rozmieszczają je na Pacyfiku. Widzą wszystko
Nieznane drony w Europie. Pojawiły się na krańcach NATO
Nieznane drony w Europie. Pojawiły się na krańcach NATO
Incydent na wysokości 10 kilometrów. Coś uderzyło w samolot pasażerski
Incydent na wysokości 10 kilometrów. Coś uderzyło w samolot pasażerski
Kosmiczna zbroja. Będzie chronić satelity i astronautów
Kosmiczna zbroja. Będzie chronić satelity i astronautów
Przyjrzeli się śniegowi w Alpach. Nie mają dobrych wieści dla świata
Przyjrzeli się śniegowi w Alpach. Nie mają dobrych wieści dla świata
Rzadkie zjawisko na niebie. Udało mu się je sfotografować
Rzadkie zjawisko na niebie. Udało mu się je sfotografować
Mają najpotężniejszy pocisk na świecie. Stworzył go sojusznik Polski
Mają najpotężniejszy pocisk na świecie. Stworzył go sojusznik Polski
Bat na Shahedy Rosjan. Ukraińcy opracowali Bulleta
Bat na Shahedy Rosjan. Ukraińcy opracowali Bulleta
Problem w otoczeniu Słońca. O tym zagrożeniu wiemy niewiele
Problem w otoczeniu Słońca. O tym zagrożeniu wiemy niewiele
Są główną tarczą antybalistyczną Ukrainy. Ta chce pozyskać kolejne 25 sztuk
Są główną tarczą antybalistyczną Ukrainy. Ta chce pozyskać kolejne 25 sztuk
Wszystko jasne. Berlin zdecydował w sprawie F-35
Wszystko jasne. Berlin zdecydował w sprawie F-35
NIE WYCHODŹ JESZCZE! MAMY COŚ SPECJALNIE DLA CIEBIE 🎯