Visa: regularne ważenie terminalu na karty chroni przed manipulacjami
Jak wynika z relacji medialnych, Visa wycofała swoją koncesję bezpieczeństwa dla dwóch terminali do obsługi kart płatniczych (3070MP01 i i3070EP01) produkowanych przez Ingenico. Przyczyną takiej decyzji była najprawdopodobniej udana manipulacja skimmerów, którzy używając dołączanej do urządzeń elektroniki, przechwytywali dane o kartach kredytowych i wprowadzanych kodach PIN, a następnie zapisywali je w celu późniejszego odczytania.
Jak wynika z relacji medialnych (PDF), Visa wycofała swoją koncesję bezpieczeństwa dla dwóch terminali do obsługi kart płatniczych (3070MP01 i i3070EP01) produkowanych przez Ingenico. Przyczyną takiej decyzji była najprawdopodobniej udana manipulacja skimmerów, którzy używając dołączanej do urządzeń elektroniki, przechwytywali dane o kartach kredytowych i wprowadzanych kodach PIN, a następnie zapisywali je w celu późniejszego odczytania.
Zdyskredytowane w ten sposób PIN Pady (PIN Entry Device, PED) należały do starszego typu urządzeń stosowanych głównie w Stanach Zjednoczonych. Visa opublikowała także listę innych, niezgodnych z jej wymogami urządzeń, które szczególnie często odgrywają istotną rolę w atakach skimmingowych.
Tego typu ataki nie są wprawdzie niczym nowym, ale według znawców branży zaskakujący jest sposób, w jaki zareagowała Visa. Pod raz pierwszy wymienieni zostali konkretni producenci i po raz pierwszy Visa przyznaje, że handlowcy stosujący się do PCI DSS stali się ofiarami ataków. Standard Payment Card Industry Data Security Standard (PCI DSS) formułuje wiele zasad bezpieczeństwa, które mają chronić przed atakami wymierzonymi w komputery i karty kredytowe.
Mimo tego, że liczba zdyskredytowanych terminali PED stale rośnie, według informacji z wewnętrznej notatki Visa traktuje wycofanie koncesji jedynie jako środek prewencyjny. Oprócz tego zaleca handlowcom gruntowne weryfikowanie tożsamości techników konserwacji takich urządzeń i nadzorowanie ich pracy. Oprócz tego dobrze jest od czasu do czasu ważyć terminale, aby w ten sposób wykryć ewentualne zmiany, które może spowodować wbudowanie dodatkowych (skimmerskich) podzespołów.
Ochronę może zapewniać także system uwierzytelniania dla terminali PED, w którym host stale sprawdza wewnętrzne numery seryjne, dostępność i integralność urządzeń. Dzięki temu nie jest możliwa np. potajemna wymiana urządzeń.
Jednak manipulacje w terminalach nie muszą wcale odbywać się w sklepie; pod koniec 2008 roku amerykańscy śledczy wraz z firmą MasterCard odkryli, że przestępcy dokonywali manipulacji już w fabryce. Mimo to urządzenia przeszły testy bezpieczeństwa i według relacji dziennika "Telegraph" zostały rozprowadzone w Europie w setkach egzemplarzy. Zebrane w ten sposób dane były wysyłane przez sieci komórkowe do przestępców w Pakistanie. W konsekwencji MasterCard wysłał do Europy wiele zespołów kontrolerów uzbrojonych w wagi, którzy mieli zidentyfikować zmanipulowane urządzenia.
wydanie internetowe www.heise-online.pl
