Tömeges bankszámla-fosztogatás az Egyesült Államokban
Az elmúlt hétvégén több amerikai bank és pénzintézet is kénytelen volt megerősíteni azokat a kiszivárgott információkat, miszerint ellopott PIN-kódok és hamisított bankkártyák segítségével ügyfeleik ezreinek számláit "takarították ki" számítógépes bűnözők. Egyelőre sem azt nem lehet tudni, hogy milyen módszerrel dolgoznak a "fehérgalléros" elkövetők, sem pedig azt, hogy hány károsultja is van a szakértők és a Gartner piackutató cég elemzői szerint a "történelem legnagyobb, még tartó elektronikus bankrablás-sorozatának" nevezett eseménynek.
Az érintett pénzintézetek egyelőre semmilyen információt nem hajlandók kiadni az ügyben. Úgy tűnik, hogy a bűncselekményekkel kapcsolatban teljes hírzárlat van érvényben. Annyi mindenesetre kiszivárgott, hogy a bűnözők valamilyen úton módon online kereskedők szervereibe hatoltak be és ellopták a bankkártya-adatokat. Nem csak az ügyfelek személyes adatait és PIN-kódjait tulajdonították el, de minden más, a hamis bankkártyák elkészítéséhez szükséges és a kártyák mágnescsíkján található biztonsági és egyéb információkat is. Ezek után az ellopott adatok segítségével elkészítették a hamis bankkártyákat, majd szabályosan kifosztották az összes bankszámlát.
Bár az üggyel kapcsolatban szinte hírzárlat van, annyit tudni lehet, hogy az Egyesült Államokban több bank, köztük a Citibank, a Bank of America és a Wells Fargo is megkezdte a PIN-kódokon alapuló, Kanadába, Nagy-Britanniába és Oroszországba irányuló tranzakciók leállítását, illetve blokkolását. Az érintett ügyfeleknek kicserélik a bankkártyáit és a PIN-kódját, de még kérdéses, hogy a kifosztott emberek számíthatnak-e bármilyen kártérítésre.
Máris több tízezer megkárosított ügyfél van és az ügyben érintett a PNC Financial, valamint a National City pénzintézetek mellett a First National Bank of Pennsylvania is.
"A legnagyobb probléma - és erre a mostani akció is rávilágított -, hogy a bankok egész egyszerűen nem őrzik megfelelő biztonsággal a bankkártyákon szereplő és más személyes adatokat. Ez a támadás csak a jéghegy csúcsa lehet" - nyilatkozta Avivah Litan, a Gartner piackutató cég elemzője.
A szakemberek kiemelték azt is, hogy Európában - így Magyarországon - hasonló veszély egyelőre nem fenyeget, ugyanis az itteni bankok jóval nagyobb hangsúlyt fektetnek a biztonságra (lásd pl. mobiltelefonos megerősítés), mint tengerentúli társaik.
RealPhoenixx#32
Turmoil: szepen osszeszedtetek nagyjabol a dolgokat, komolyan grat hozza.
Bar kisse pontatlan, de elnagyolva okes, sztem.
Ami inkabb erdekelne: konkret doksitok van ezzel kapcsolatosan?? Nekem van nehany, de szeretnek minnel tobbet, mint ahogy matematikai algoritmusokrol is.
Mindemellett tartom a megallapitast, miszerint nincs megbizhato chipkartyas rendszer manapsag.
Csak nehany parametert kell tudni, es csumi kodolas neki :) -a doksit pont ezert kerdem, mert nekem ebbol kellene egy jo anyag, de meg nem talaltam (hiszen jo tudni hogy masok miket otoltek ki, s viszonyitani a dolgokat hozzajuk, mint mukodokepes megvalositas referenciajakent)-
THX
BlackRose#31
Különben én a kártya híve vagyok, nekem jelenleg 4 van :) és nagyon hasznos dolog amely sok olyan dolgot tett lehetővé amely nélküle vagy lehetetlen vagy bonyolult (megfizethetetlen) lenne. Persze mint már mondtam néha de nagyon ritkán ennek a kényelemnek és lehetőségeknek az ára egy kellemetlen dolog is lehet, de ezért szerintem nem megalapozott, hogy ne használjuk vagy, hogy ellene legyünk.
accord#30
Nem akarok gonoszkodni, de miért ez a nagy meglepődés?! A hagyományos dombornyomásos, vagy internetes fizetésre is alkalmas kártyáknál online vásárlásnál te megadod az összes vásárláshoz (pénz levonáshoz) szükséges adatot. Ezek után hogy a vásárlás után is megterheli-e az adott cég a számládat az "technikailag" csak a jóindulatán múlik. Ha ezt a megadott 2 számot + 1 nevet ellopják akkor már a törvény sem állíthatja meg a tolvajt abban hogy bármennyi pénzt le vegyen a számládról.
Hogy ezt miért engedig meg maguknak a bankok, és miért hírdetnek "fél-megoldás" biztonságos kapcsolatot meg ilyeneket az rejtély.
A tejles megoldást az Inter-Európa bank szolgáltatja magyarországon:
1. lépés: olyan kártyát adnak, amivel nem lehet interneten fizetni (így nem is lehet vele így visszaélni)
2. lépés: minden vásárláskor SMS-ben tudsz kérni egy olyan egyedi kártyaszámot ami csak egy vásárlás erejéig (vagy 48 óráig) él. Fogjátok ezt fel úgy, mintha minden egyes vásárlás előtt egy teljesen új bankártyát igényelnél - 5 másodperc alatt és egy SMS áráért - ami vásárlás után automatikusan letiltódik ÖRÖKRE. Ezután nyugodtan le lehet nyúlni a számot, sok sikert a visszaéléshez
Annyival persze jobb a helyzet a "hagyományos" esetekben is, hogy jobb helyeken ezek az internetes számlák el vannak különítve, ezért normális esetben az idő 99.9%-ában 0 forint található rajtuk, mivel csak a vásárlás idejére töltjük fel a számlát a pontos összeggel. Ha pont akkor abban a fél órában (az átvezetés után és a vásárlás előtt) akarnának visszaélni akkor is csak a vásárlásnyi összeget viszik és nem az összes pénzünket. Ráadásul az is nehezíti a visszaélést, hogy az online áruházak (vagy a tolvajok) nem tudják lekérdezni hogy mennyi pénzünk van, hanem csak tranzakciót (pénz levonást) tudnak igényelni ami van sikeres, vagy meghiusult. Tehát az időpillanaton kívül az összeget is el kellene találniuk amire kicsi az esély. (ha többet akarnak levonni akkor ugyanis azonnal lebuktatják magukat)
A cikkben említett emberek szerintem nem különítették el az online vásárlásra szánt pénzt és nem is generálták a kártyaszámot. Monduk ebben a bank is felelős, mert nem figyelmeztette a kevésbé odafigyelő ügyfeleket, aki magasról sz*rnak a technikai részletekre. Hát most így jártak.
Lehet hogy félreértettem az alap-problémát de szerintem erről van szó amit taglaltam. Remélem sikerül megakadályozni néhány új lenyúlást Ha érted a technikai részleteket és betartod a szabályokat kizárt hogy lenyúljanak. Szerintem.
BlackRose#29
Én nem szoktam senkit sem alázni, úgyhogy nemtudom mire gondolsz. Különben ezt nem is én mondtam. Alapjában azt sem állítottam, hogy a rendszer használhatatlan, de nem tudom elfogadni azt sem, hogy 100% biztonságos (és magad is leírtad, hogy ki lehet olvasni csak persze nem a Lacika délutáni iskolai feladatára, de profi modon megoldható), persze a fennáló kérdés, hogy érdemes e valakinek a kártyán levő viszonylag apró összegért ilyen dolgokat csinálni, mert szerintem nem. Éppen ezért praktikus értelemben a kártya biztos, elméletben meg nem. Különben nem rendelkezek nagy tudással a kártyákról és nem ezt nem is mondtam, viszont alapvető logikával is az ember sokszor elegendő szinten megértheti a dolgokat. Persze nem profiként. Éppen ezért nem alázok senkit még akkor sem ha az én területemről lenne szó, akkor sem. A kártyák pedig nem az én teröletem. Viszont az nem jelenti, hogy elfogadom azt a kijelentést, hogy egy hardware-ből nem lehet valamit kiolvasni. Azt, hogy bonyolult, meg, hogy értelmetlen azt igen, de hogy lehetetlen azt nem. Na mindenesetre köszi, hogy elmagyaráztad a chipkártya működési elvét.
Turmoil#28
"a tranzakció hitelessége ezek után a privát kulcs felhasználásával ellenőrizhető."
Elírtam: a publikussal.
Turmoil#27
Ha tudatlan vagy, akkor magadat alázod.
Chipkártya működése:
a chip a megfelelő parancs hatására generál egy kulcs-párt, már ehhez is ismerned kell a pint.
a processzornak (a chip) eleve nincs olyan szolgáltatása, hogy privát kulcs kiadása, csak a publikus kulcsra.
tranzakció hitelesítéséhez a berendezés generál egy hash kódot a tranzakció adataiból és azt a kártyán levő processzorral aláiratja, amihez szintén kell a pin. Ehhez nem kell a privát kulcsnak a kártyáról kikerülnie.
a tranzakció hitelessége ezek után a privát kulcs felhasználásával ellenőrizhető.
Mindezek ellenére, speciális eszközökkel, destruktív módon esetleg ki lehet olvasni a kártyáról a kulcsot, de ehhez azért nem elég egy kézi multi-meter és egy jól képzett villamosmérnök ROTFL, hanem egy kicsit komolyabb laboratórium kell.
Még kérdés?
RealPhoenixx#26
Blue Gene: ezaz, alazzuk a nem villamosmernokoket, akik csupa suletlensegeket loknek, mert nagyon pici kriptografiai tudassal rendelkeznek :)
Jol csinalod, igy kell, attetelesen, talan tanulnak kicsit.
Turmoil: mellesleg en is kriptografiaval foglalkozom mindazok ellenere hogy villamosmernok vagyok, es mindemellett finommechanikai muszeresz :) Szval a kollegad huzzon bele, oszt magyarazza meg a dolgot hasonlo elven mint Blue Gene :) had rohogjek a kollegadon :)
BlackRose#25
"Egy rendes azonosító nem másolható, mivel sohasem kerül ki a hardverből."
Akkor az Write Only?, na az meg hogyan műxik, beírták de nem olvasható, ha pedig olvasható akkor lényegében másolható. Ha sohasem kerül ki a hardware-ből akkor hogyan alkalmazzák?
BiroAndras#24
"A fizikai azonosítót a cikk szerint lemásolták"
Egy rendes azonosító nem másolható, mivel sohasem kerül ki a hardverből.
RealPhoenixx#23
Turmoil: uzenem a kollegadnak, adja vissza a diplomajat, es rohogjon nyugodtan kozben is :) hehehe, en csak az ilyeneken tok rohogni :)