Найден способ взлома устройств для ввода pin-кода

Найден способ взлома устройств для ввода pin-кода

Бразильские СМИ постоянно показывают видеосюжеты о «плохих парнях», устанавливающих чупакабру в очередной банкомат. Одни мошенники делают это не достаточно умело, другим просто не везет, но в результате многие попадают в зону камер видеонаблюдения, а затем и в руки полиции.



Получается, что установка скиммеров на банкоматы – рискованное занятие, и поэтому бразильские кардеры объединили усилия с местными хакерами, чтобы разработать более легкий и безопасный способ кражи и копирования информации с кредитных карт. В таком далеко не священном союзе и родилась чупакабра.

Идея, лежащая в основе зловреда, проста: вместо того чтобы рисковать быть пойманными с поличным со скиммером в руках, эти ребята разрабатывают и внедряют вредоносный код в компьютеры на базе Windows. Их целью является перехват данных, вводимых с помощью пинпадов – цифровых клавиатур, которые вы используете в супермаркетах, на заправках – везде, где принимают оплату банковской картой, сообщает securelist.

Впервые зловред был зафиксирован в Бразилии в конце декабря 2010 года под именем Trojan-Spy.Win32.SPSniffer в четырех модификациях (A, B, C и D). Эти троянцы имеют узкую направленность и распространяются с определенной целью. Нам точно известны случаи таких атак в США, и мы предполагаем, что в других странах они тоже случались.

Разумеется, на пинпадах установлена защита. Пинпад защищается и аппаратно, и программно, чтобы секретный код был стерт, если кто-либо попытается подобраться к устройству. Шифрование пин-кода производится непосредственно при введении его в устройство на основе ряда схем шифрования и симметричных ключей. Чаще всего используется тройной DES-шифратор, что серьезно усложняет взлом пинпада.

Правда, существует одна проблема: устройство подсоединено к компьютеру через USB или последовательный порт для сообщения с программным обеспечением EFT (Electronic Funds Transfer), осуществляющим денежные транзакции. Выпущенные давно и морально устаревшие пинпады, все еще используемые в Бразилии, очень уязвимы с этой точки зрения.

На этих старых устройствах данные 1-й дорожки и открытые данные, хранящиеся на чипе карты, не зашифровываются – а это и номер карты, и срок ее действия, и сервис-код, а также блок данных, где хранится CVV – короче говоря, почти все, что нужно мошеннику, чтобы начать тратить ваши деньги. Поскольку эта информация не шифруется, в компьютер она поступает в текстовом формате. Этих данных достаточно, чтобы сделать копию вашей кредитной карты.

Зловред устанавливает простой драйвер для прослушивания USB-порта или последовательного порта, переделанный по сути из коммерческих решений, таких как Eltima или TVicPort, и перехватывающий передачу данных между компьютером и пинпадом. Первые версии чупакабры устанавливали еще и модуль DLL, позволяющий собирать информацию о сетевом трафике, исходящем из всех устройств, подключенных ко всем последовательным портам.

Вдобавок вредоносный DLL-модуль (кейлогер) перехватывает каждое нажатие клавиш. Вся информация, украденная с 1-й дорожки, сохраняется в файл, содержащий, наряду с информацией о компьютере жертвы, все перехваченные данные, и пересылается киберпреступникам – как правило, по электронной почте.

Для обеспечения «защищенной» передачи данных злоумышленникам зловред использует алгоритм симметричного шифрования с ключом, который имеет интересное Unicode-имя.

Как только проблема стала очевидной, бразильские компании, занимающиеся кредитными картами, стали заменять эти старые пинпады на новые, устойчивые к этой угрозе.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Т-Технологии тестирует формат bug bounty с упором на недопустимые события

Компания Т-Технологии (входит в экосистему Т-Банка) представила новую исследовательскую программу, которая выходит за рамки классического поиска уязвимостей. Теперь, помимо поиска технических багов, участникам предлагают тестировать так называемые «недопустимые события» — сценарии, проверяющие, насколько инфраструктура компании устойчива к критическим воздействиям.

Главная особенность программы в том, что она построена по принципу pay-for-impact: вознаграждение начисляется не просто за найденную уязвимость, а за демонстрацию сценария, который реально проверяет устойчивость ключевых систем.

Исследователям не ограничивают направления работы — они могут анализировать мобильные приложения, API, бизнес-логику, интеграции с партнёрами и другие части цифровой инфраструктуры.

Руководитель департамента информационной безопасности Т-Банка Дмитрий Гадарь объяснил идею так:

«Наша цель — не заменить классический баг-баунти, а дополнить его новым направлением. Мы хотим, чтобы исследователи искали комплексные сценарии, способные подтвердить защищённость систем на практике. Это делает безопасность более прозрачной и технологичной».

Пока программа работает в приватном режиме — принять участие в ней могут только приглашённые специалисты.

Ключевые параметры программы:

  • Платформа: Standoff Bug Bounty
  • Модель выплат: pay-for-impact — вознаграждение за воспроизведение PoC, приводящего к подтверждённому «недопустимому событию».
  • Размер выплат: до 3 млн рублей за выявление критического сценария, от 100 тыс. до 1,5 млн рублей — за промежуточные этапы в зависимости от сложности и влияния.
  • Промежуточные итоги: запланированы на 1 апреля 2026 года.

Что такое «недопустимые события»

Под ними понимаются сценарии, которые позволяют проверить, насколько критические компоненты инфраструктуры готовы к серьёзным инцидентам. Среди примеров:

  • попытки несанкционированного доступа к внутренним сервисам;
  • закрепление в базе данных с правами администратора;
  • внедрение кода в цепочку релизов продуктов;
  • обход систем защиты и мониторинга.

В чём новизна подхода

Новая программа делает акцент не на количестве уязвимостей, а на практической устойчивости инфраструктуры. Исследователи могут комбинировать разные векторы атак — от фронтенда до интеграций, — чтобы находить сложные цепочки. Все подтверждённые сценарии автоматически передаются в SOC и другие подразделения для проверки и усиления защиты.

«Для банков особенно важно не только находить уязвимости, но и подтверждать реальную защищённость систем. Мы надеемся, что такой подход станет стандартом для отрасли», — добавил Дмитрий Гадарь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru