Visa: regularne ważenie terminalu na karty chroni przed manipulacjami

Jak wynika z relacji medialnych, Visa wycofała swoją koncesję bezpieczeństwa dla dwóch terminali do obsługi kart płatniczych (3070MP01 i i3070EP01) produkowanych przez Ingenico. Przyczyną takiej decyzji była najprawdopodobniej udana manipulacja skimmerów, którzy używając dołączanej do urządzeń elektroniki, przechwytywali dane o kartach kredytowych i wprowadzanych kodach PIN, a następnie zapisywali je w celu późniejszego odczytania.

Obraz
Źródło zdjęć: © Jupiterimages

Jak wynika z relacji medialnych (PDF), Visa wycofała swoją koncesję bezpieczeństwa dla dwóch terminali do obsługi kart płatniczych (3070MP01 i i3070EP01) produkowanych przez Ingenico. Przyczyną takiej decyzji była najprawdopodobniej udana manipulacja skimmerów, którzy używając dołączanej do urządzeń elektroniki, przechwytywali dane o kartach kredytowych i wprowadzanych kodach PIN, a następnie zapisywali je w celu późniejszego odczytania.

Zdyskredytowane w ten sposób PIN Pady (PIN Entry Device, PED) należały do starszego typu urządzeń stosowanych głównie w Stanach Zjednoczonych. Visa opublikowała także listę innych, niezgodnych z jej wymogami urządzeń, które szczególnie często odgrywają istotną rolę w atakach skimmingowych.

Obraz
© (fot. Jupiterimages)

Tego typu ataki nie są wprawdzie niczym nowym, ale według znawców branży zaskakujący jest sposób, w jaki zareagowała Visa. Pod raz pierwszy wymienieni zostali konkretni producenci i po raz pierwszy Visa przyznaje, że handlowcy stosujący się do PCI DSS stali się ofiarami ataków. Standard Payment Card Industry Data Security Standard (PCI DSS) formułuje wiele zasad bezpieczeństwa, które mają chronić przed atakami wymierzonymi w komputery i karty kredytowe.

Mimo tego, że liczba zdyskredytowanych terminali PED stale rośnie, według informacji z wewnętrznej notatki Visa traktuje wycofanie koncesji jedynie jako środek prewencyjny. Oprócz tego zaleca handlowcom gruntowne weryfikowanie tożsamości techników konserwacji takich urządzeń i nadzorowanie ich pracy. Oprócz tego dobrze jest od czasu do czasu ważyć terminale, aby w ten sposób wykryć ewentualne zmiany, które może spowodować wbudowanie dodatkowych (skimmerskich) podzespołów.

Ochronę może zapewniać także system uwierzytelniania dla terminali PED, w którym host stale sprawdza wewnętrzne numery seryjne, dostępność i integralność urządzeń. Dzięki temu nie jest możliwa np. potajemna wymiana urządzeń.

Jednak manipulacje w terminalach nie muszą wcale odbywać się w sklepie; pod koniec 2008 roku amerykańscy śledczy wraz z firmą MasterCard odkryli, że przestępcy dokonywali manipulacji już w fabryce. Mimo to urządzenia przeszły testy bezpieczeństwa i według relacji dziennika "Telegraph" zostały rozprowadzone w Europie w setkach egzemplarzy. Zebrane w ten sposób dane były wysyłane przez sieci komórkowe do przestępców w Pakistanie. W konsekwencji MasterCard wysłał do Europy wiele zespołów kontrolerów uzbrojonych w wagi, którzy mieli zidentyfikować zmanipulowane urządzenia.

wydanie internetowe www.heise-online.pl

Wybrane dla Ciebie
COP30 pierwszy raz bez USA. Wśród tematów: Lasy deszczowe i rdzenni mieszkańcy
COP30 pierwszy raz bez USA. Wśród tematów: Lasy deszczowe i rdzenni mieszkańcy
Obiecano im pracę w hotelu. Afrykanki zwabione przez Rosję
Obiecano im pracę w hotelu. Afrykanki zwabione przez Rosję
Ukraińcy nie musieli go atakować. Rosyjski Ka-226 rozbił się w Rosji
Ukraińcy nie musieli go atakować. Rosyjski Ka-226 rozbił się w Rosji
Rosja promuje Su-57. Nikt nie chce "najlepszego samolotu świata"
Rosja promuje Su-57. Nikt nie chce "najlepszego samolotu świata"
Rosjanie zrobili to celowo. Zaatakowali konwój humanitarny
Rosjanie zrobili to celowo. Zaatakowali konwój humanitarny
Problemy z rosyjskimi czołgami. Sami Rosjanie narzekają na ich jakość
Problemy z rosyjskimi czołgami. Sami Rosjanie narzekają na ich jakość
Odparowuje wszystko co żywe. Rosjanie zaczęli demontować potężną broń
Odparowuje wszystko co żywe. Rosjanie zaczęli demontować potężną broń
Najstarsze powietrze w historii. Było uwięzione w 6-milionowym lodzie
Najstarsze powietrze w historii. Było uwięzione w 6-milionowym lodzie
Sprawdzono ją w Ukrainie. Polska chce nią zwalczać drony
Sprawdzono ją w Ukrainie. Polska chce nią zwalczać drony
Chiny mają nowy okręt. Rzuca wyzwanie największym mocarstwom
Chiny mają nowy okręt. Rzuca wyzwanie największym mocarstwom
Nie tylko Koreańczycy. Ujawniono, kto jeszcze walczy za Rosję
Nie tylko Koreańczycy. Ujawniono, kto jeszcze walczy za Rosję
Mówią, że są lepsze niż F-35. Będą produkowane w Ukrainie
Mówią, że są lepsze niż F-35. Będą produkowane w Ukrainie
ZANIM WYJDZIESZ... NIE PRZEGAP TEGO, CO CZYTAJĄ INNI! 👇