Близкие контакты. Атакуем бесконтактные карты

Бесконтактные банковские карты очень удобны: приложил карточку к терминалу, и через пару секунд в кармане звякнул телефон — покупка оплачена. Но это удобство имеет и обратную сторону: злоумышленники могут украсть деньги у держателей такого «пластика». Давай поговорим о способах взлома банковских карт, использующих технологию NFC.
Технологически платежи NFC являются продолжением стандарта EMV, поэтому все происходившие «в дикой природе» атаки уже были известны исследователям. Когда я занялся темой бесконтактных платежей, мне все же удалось найти несколько новых интересных случаев, но подобные атаки все так же фокусируются на обратной совместимости и других недостатках основных механизмов EMV — авторизации, аутентификации, верификации.
Проведя тесты с десятками карт, я был поражен масштабом проблем в банках. С начала 2000-х они никуда не делись, и с приходом бесконтактных платежей таких проблем просто стало больше. Одна из особенностей мошенничества именно с бесконтактными картами заключается в том, что его трудно подтвердить, так как злоумышленнику нет необходимости получать физический доступ к твоим картам. Поэтому банки нередко опротестовывают подобные жалобы клиентов.
ЛЕГАСИ

Первым, кто еще в 2014 году обратил внимание на небезопасность режимов легаси при бесконтактном методе оплаты, был

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

.
Что такое бесконтактные легаси‑режимы и зачем они создавались в 2013 году? Легаси‑режимы — специальные режимы для терминалов, которые не умели работать с криптографией, в основном американских. Также из‑за обратной совместимости карты и терминалы, все‑таки умеющие в современную криптографию, можно использовать в легаси‑режимах. Представь себе, что по твоей чиповой карте можно совершать платежи с магнитной полосой, — примерно о таком уровне безответственности идет речь.
Карты Visa в режиме легаси MSD (Magnetic Stripe Data) попросту передают Track2 Equivalent с динамическим полем CVV, меняющимся «время от времени». То есть один и тот же CVV можно использовать больше одного раза. Однако этот режим также обладает недостатком, позволяющим использовать некорректное значение поля CVV2, о чем уже говорилось в

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

. То есть данные, считанные с магнитной полосы, с чипа или бесконтактного чипа карты, могут быть записаны и воспроизведены специальным приложением по протоколу NFC и банк будет считать это бесконтактной транзакцией. Русский программист Дмитрий Холодов даже

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

, позволяющее считывать и сохранять эти данные на телефоне с Android.
Карты MasterCard пошли чуть дальше: в их режиме легаси, называющемся PayPass M-Stripe, карта принимает от терминала случайное число UN, использует счетчик ATC и генерирует поле авторизации CVC3 на основе этих данных. Далее терминал сам создает из перечисленных значений динамический Track2 Equivalent и посылает банку для авторизации платежа.
Режим обладает главным недостатком — низкой энтропией поля UN и отсутствием других полей для энтропии, таких как сумма платежа, дата транзакции. UN может занимать от 3 до 5 байт, каждый байт состоит только из цифр. Значит, на вход карте может поступить 999, 9999 или 99 999 различных значений UN. В первых двух случаях, поднеся к карточке сотовый телефон с

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

, злоумышленник может быстро клонировать все транзакции с карты.
Далее злоумышленник совершает платеж на терминале, который поддерживает режим M-STRIPE, используя телефон с клонированными транзакциями. Терминал генерирует случайное поле UN, телефон ищет в своей базе транзакций корректную пару ATC/CVC3, относящуюся к этому UN, и отдает терминалу.
Тут стоит напомнить, что платежные системы рекомендуют следить за порядком значений счетчика и не принимать транзакции со значительными прыжками этих самых значений ATC. Если системы антифрода настроены корректно, злоумышленникам не удастся совершить более одного платежа, потому что для следующего платежа значение случайного поля UN приведет к появлению такого же случайного значения поля ATC, гораздо выше или ниже предыдущего. Если же системы антифрода запуганы «озлобленными покупателями», у злоумышленника в руках будет полноценный клон карты, который он сможет использовать множество раз.
Другой обнаруженный исследователями способ мошенничества — заставить терминал поверить, что энтропия UN = 0. Тогда он вернет только одно возможное значение UN = 00000, и ему соответствует только одна пара ATC/CVC3. В этом случае клонировать карту становится невероятно легко. Нам даже удалось найти один российский банк, который был подвержен такой атаке.
Одно из хороших описаний недостатков режимов легаси на русском языке

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

. Однако я спешу не согласиться с автором в том, что проблема в целом решена: за последний год я нашел две работающих в режиме Legacy российских карты MasterCard, а также одну карту и один карточный эквайринг в России, которые поддерживают уж совсем небезопасный режим Visa MSD.
Подход к реализации режимов легаси интересен еще и с точки зрения применимости атак на них в реальном мире. Атаки на карты Visa до сих пор чрезвычайно популярны и имеют повсеместное распространение. Ведь для того, чтобы совершать бесконтактные платежи по картам Visa, можно использовать информацию, доступную для продажи на специальных форумах, — Track2 или Track2 Equivalent.

Атаки на карты Visa до сих пор распространены
Легаси‑режим карт MasterCard тоже обладает уязвимостями, позволяющими их атаковать. Однако эти атаки гораздо сложнее применить в реальных условиях, поскольку для них нужен физический доступ к карте жертвы, хотя бы на минуту. Вот почему подобные атаки практически не встречаются в «дикой природе».

Атаки на MasterCard требуют физического контакта с картой
Стоит отметить, что большинство мобильных кошельков — GPay, SamsungPay, кастомные HCE (Host-Card Emulation, приложение на Android, которое эмулирует карты) — также поддерживают режимы M-Stripe и MSD. Но об этом мы поговорим в разделе, посвященном мобильным кошелькам и другим нестандартным платежным устройствам.
КЛОНИРОВАНИЕ КАРТ И ТРАНЗАКЦИЙ

Клонировать бесконтактные карты EMV, чтобы их транзакции могли проходить авторизацию в реальном времени, невозможно. Злоумышленники или исследователи пока что не научились извлекать криптографические ключи для создания платежных криптограмм. Однако это не единственный способ изготовить функциональный клон карты:

• значение Track2 Equivalent можно записать на магнитную полосу и совершать платежи за пределами России, как это было описано в

  Нужно, войти или зарегистрироваться для просмотра скрытого текста.

  ;
• для клонирования транзакций также используется другая техника, описанная ранее, —

  Нужно, войти или зарегистрироваться для просмотра скрытого текста.

  ;
• наконец, полнофункциональный клон карты или ограниченного числа транзакций можно создать, используя уязвимости режимов легаси, о которых я рассказал выше.

ОБХОД ВЕРИФИКАЦИИ ПЛАТЕЛЬЩИКА

Мейнстрим исследований по небезопасности EMV/NFC в последние 15 лет посвящен теме верификации плательщика — Cardholder Verification Methods, или CVM. Почему? Потому что обход CVM завязан на другие недостатки безопасности карт: авторизацию и аутентификацию. Такие атаки не особо популярны по тем же причинам — злоумышленнику необходимо иметь физический доступ к карте. В официальной статистике этот тип мошенничеств называется Lost & Stolen.

INFO
Что такое «непопулярный тип мошенничества»? Объем несанкционированных операций Lost & Stolen в России, по заключению банка Тинькофф, — всего 7% за 2019 год. Если взять официальную цифру общего карточного мошенничества от ФинЦЕРТ за 2018 год в 1,38 миллиарда, то причиненный злоумышленниками ущерб составляет чуть меньше 100 миллионов рублей.
Киберпреступники могут подменить метод верификации на разных этапах процессинга платежа, используя атаку MITM (человек посередине). Давай разберем каждый вариант в отдельности.​

Подмена между терминалом и банком-эквайером

Такой тип атак называется transaction stream fraud — когда хакеры подменяют данные о транзакции в момент их передачи от платежного терминала. При этом банк‑эмитент одобряет транзакцию, хотя и не должен был. Верификация транзакции может выполняться двумя методами.

1. Подмена на офлайновый ПИН. Эта схема не используется для бесконтактных карт, просто потому, что карту пришлось бы прикладывать дважды в процессе платежа. Ни одна платежная система не была к этому готова после 2010-х, когда число подключенных к интернету терминалов начало приближаться к 100%. Однако мы нашли пять банков, которые авторизовали транзакцию, если метод верификации был заявлен как «офлайн‑ПИН».
2. Подмена на онлайн‑ПИН. Если запрос на авторизацию платежа указывает, что был выбран онлайн‑ПИН, но самого зашифрованного ПИНа в поле запроса нет, один из исследованных нами банков все равно авторизовал транзакцию.

Я постоянно сталкиваюсь с недоумевающими экспертами — если мошенники используют свои собственные терминалы, их же легко будет отследить и найти? К сожалению, это не всегда так. Те же бразильцы,

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

, легко успели скрыться и отмыть похищенные ими деньги до того, как на них вышло ФБР.
Подмена между телефоном и терминалом

Подмена на подпись

Самый популярный после онлайн‑ПИНа способ верификации плательщика — это так называемая подмена на подпись. Владельцы карт некоторых русских банков прекрасно знают, что вместо ввода ПИН‑кода карта может по умолчанию запрашивать подпись на чеке. Эта схема, называемая Chip & Signature (по аналогии с Chip & PIN), пришла из Америки. Я только недавно узнал о причинах ее популярности за океаном.
INFO

Когда в начале 2000-х в США начался массовый переход на чиповые карты, оказалось, что с точки зрения американского законодательства, вне зависимости от того, был введен правильный ПИН во время мошеннической операции или нет, клиенту обязаны возмещать деньги. А если не видно разницы, то зачем платить клиентам, для которых все эти действия с вводом ПИН‑кода — головная боль? Поэтому в стране до сих пор так популярна схема Chip & Signature.
Если злоумышленник подменит тип верификации с ПИНа на подпись, а затем поставит крестик на чеке или незадачливый кассир не запросит автограф — владелец карты может затребовать компенсацию, если докажет, что операция совершалась не им. Однако получит ли он ее — не знает точно никто. Но если уж будет доказано, что по российской карте был введен и корректно проверен ПИН, всю вину возложат на клиента.
Интересно, что упомянутые ранее

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

много лет занимались технической экспертизой мошеннических карточных операций. Они собирали данные об операциях и доказывали банку и судьям, что те совершались не так, как это интерпретирует банк, например без корректно введенного ПИНа или по заранее клонированной криптограмме.
Подмена на мобильный кошелек, или NoCVM

Помимо двух самых популярных схем для чиповых бесконтактных карт, терминал может принимать еще несколько не совсем стандартных типов верификации плательщика. Во‑первых, злоумышленник может сообщить терминалу, что карта — это вовсе не карта, а мобильный кошелек, скажем Apple Pay. В большинстве терминалов в таком случае не потребуется ввода никаких ПИН‑кодов и даже не нужно будет оставлять подписи на чеке. То же самое произойдет, если в виде метода верификации выбрать NoCVM.
Для бесконтактных карт Visa мы

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

, где продемонстрировали недостатки защищенности механизмов CVM по картам из России, Европы, Америки и Великобритании. Позже исследователи из университета Цюриха

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

с небольшими изменениями для европейского рынка. Они лишь подтвердили описанные нами ранее заключения о картах Visa.
Некоторые эксперты интересуются: почему только Visa? Во‑первых, карты MasterCard проверяют целостность выбранных методов верификации CVM во время Offline Data Authentication. В отличие от карт Visa, этот процесс обязателен для каждой бесконтактной карты MasterCard. Также поле, отвечающее за мобильный кошелек, является частью платежной криптограммы, и их тоже невозможно подменить без отклонения транзакции.
PSD2 И КАРТОЧНОЕ МОШЕННИЧЕСТВО В ЕВРОПЕ

Каждая страна мира имеет свои рекомендации по лимитам NoCVM, когда никакой верификации плательщика не требуется. Речь идет о так называемой схеме Tap & Go. В России этот лимит ранее составлял 1000 рублей, но недавно его повысили до 3000 рублей. В Великобритании до COVID эта цифра была 30 фунтов стерлингов, сегодня — 45.
Каждый магазин и банк‑эквайер может устанавливать какие угодно лимиты для своих терминалов. Однако риски за мошенничество NoCVM будут лежать на их плечах, именно поэтому не каждый банк или мерчант захочет устанавливать лимиты выше средних, иначе к ним побегут радостные мошенники.
Самая популярная схема мошенничества по украденным бесконтактным картам — это пойти в магазин и совершить платеж по описанной схеме Tap & Go. Например, масштаб такого мошенничества в Великобритании — «всего» чуть больше 10 миллионов фунтов стерлингов за 2019 год. Дело в том, что злоумышленники могли совершать сколько угодно операций по лимитам NoCVM, пока карту не заблокировали. Самые наглые даже находили кассиров, которые без проблем разделяли большой чек на несколько 30-фунтовых,

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

.
Чтобы противостоять такому мошенничеству, европейский регулятор выпустил набор новых законов, который называется PSD2 (Payment Service Directive, version 2). Одно из главных требований относится к частоте верификации плательщика — Strong Customer Authentication. В эти требования включен раздел по бесконтактным операциям Tap & Go — Cumulative Limits, в соответствии с которыми начиная с 2020 года банки‑эмитенты ограничивают количество операций ниже лимитов Tap & Go. Они, наоборот, должны считать суммарно потраченные средства и просить ввести ПИН‑код через каждые пять операций или в случае, если держатель карты потратит эквивалент максимальной суммы по пяти операциям Tap & Go, например 225 фунтов стерлингов в Великобритании или 250 евро во Франции. Если в европейских странах эта процедура не слишком заметна для владельцев карт, то в Великобритании действует Hard Limits. Это означает, что для платежей, которые требуют ввод ПИН‑кода или подписи, требуется вставить в терминал карту с чипом.
INFO

Visa и MasterCard предлагают две схемы работы выше лимитов Tap & Go — Soft или Hard limits. Большинство стран работает по первой схеме, в которой при проведении платежа выше установленного лимита будет запрошена дополнительная верификация плательщика — подпись или онлайн‑ПИН. Единственная известная мне страна, работающая по схеме Hard Limits, — Великобритания. В ней в случае платежа выше Tap & Go придется вставить карту с чипом. Это, естественно, не относится к мобильным кошелькам — по ним лимиты отдельные. Больше информации можно найти в упомянутых исследованиях.
Закон все еще медленно распространяется по Европе. Но как только у меня на руках оказалось достаточно карт, по которым применялись правила Cumulative Limits, я стал проверять, насколько эффективны эти правила и как их можно обойти, используя публичные уязвимости или их новые вариации. Одно из наших последних исследований показало, что старые добрые атаки PIN OK, подмена верификации на Chip & Signature, Transaction Stream Fraud — все они позволяют «сбросить лимиты» в 225 фунтов стерлингов / 250 евро. Имея на руках похищенные карты и специальный терминал, хакеры могут совершать платежи в обычных магазинах свыше указанных ограничений, периодически «сбрасывая лимиты»

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

.
ЗАКЛЮЧЕНИЕ

За три года плотной работы с карточными транзакциями я многое понял. Риск‑ориентированный подход в платежной индустрии заставляет банки и других игроков рынка поддерживать устаревшие формы платежей просто «потому, что это нужно». Именно поэтому за последние годы мне удалось совершить захватывающее путешествие в дебри карточного мошенничества, найти десятки уязвимостей в различных банках и платежных системах, научиться разбираться в ISO-8583, эмулировать примеры транзакционного фрода и освоить другие интересные и необычные способы атак, которые, будем надеяться, так и останутся только в нашей лаборатории.