Недавно заказывал в ВТБ24 2 пластиковые карты. Получил их через неделю и чтобы не перепутать пин-коды, сложил карточки в конвертики с последними, каждую в конверт с номером этой карты.

Когда понадобилась одна из карт, чтобы было удобнее ее извлекать, я разрезал конверт вдоль и развернув его полностью, достал карту и листок с пин-кодом.

Мое внимание привлек черный блестящий прямоугольник, нанесенный на конверт с внутренней стороны. Сначала я подумал, что это дополнительная защита от просмотра конверта на свет, с целью узнать пин-код, но позже понял — это нанесение красящего вещества идентичное, наверное, тому, что используется для изготовления копировальной бумаги (копирки) и используется для печати пин-кода на листке, вложенном в конверт при том, что конверт запечатан.

А заинтересовало меня это покрытие тем, что на нем отчетливо просматривался пин-код моей карты!

Специалисты продолжают удивляться, как хакеры умудряются начать практическое использование методов, которые ещё год назад признавались только теоретически возможными, да и то в узкой академической среде. Теперь они научились снимать PIN-коды с наших карточек, не проникая непосредственно в банкомат, которым мы пользуемся. Для этого достаточно найти слабый узел в сети, по которой идут пакеты от банкомата к банку.

Подозрения, что злоумышленникам стала доступна техника расшифровки PIN-кодов, которые передаются в зашифрованном виде, были и раньше, но после публикации отчёта 2009 Data Breach Investigations от компании Verizon они теперь впервые официально подтверждены.

Оказалось, что зашифрованные пакеты, пока не попадут в банк назначения, на своём пути проходят через множество аппаратно-шифровальных модулей (HSM, на фото — HSM с PCI-интерфейсом) от других банков. Из-за того, что эти HSM имеют разные настройки и режим работы, пакеты с PIN-кодами приходится на каждом узле расшифровывать и заново зашифровывать с новым открытым ключом, который действует в паре с закрытым ключом этого конкретного HSM, доступным через API. Так вот, теперь хакеры научились узнавать закрытый ключ HSM, если этот узел неправильно сконфигурирован. Как только хакерам удаётся расшифровать один PIN-код, они легко могут расшифровать весь массив PIN-кодов, которые проходят через этот HSM.

О практическом применении этой методики специалисты узнали только постфактум, когда несколько месяцев назад начали расследовать прокатившуюся по всему миру в 2008-2009 годах волну фродовых снятий денег (до этого они заметили интерес к теме на русских хакерских форумах, но не могли понять, с чем это связано).

Недавно выпущенные на рынок пластиковые карточки RevolutionCard от компании Revolution Money Inc. — это первые в Америке карточки, на которых не указано ни имя владельца, ни номер счёта, ни подпись, ни какие-либо другие идентификационные данные. Они также не закодированы на магнитной полосе. Кроме того, это первые карты в США, которые требуют обязательного ввода PIN-кода для всех без исключения транзакций. Используются одноразовые пин-коды с ограниченным сроком действия, которые нужно заказывать через интернет.

Благодаря меньшим комиссионным сборам (всего 0,5%) карточки нового типа уже приобрели определённую популярность среди мерчантов, хотя с момента запуска компании прошло всего два месяца.