Thiết bị thu nhận thông tin từ các thiết bị POS tuân theo chuẩn EMV
Hiện nay, thiết bị thu nhận thông tin từ các thiết bị POS tuân theo chuẩn EMV của Mike Bond đã thu hút được nhiều sự chú ý trên các phương tiện thông tin của Đức, từ khi các tin tức được Sabina Wolf đưa ra trên ARD TV's Plusminus, và một thông cáo báo chí - press release - tương ứng từ Westdeutscher Rundfunk. Bài viết này giải thích một cách ngắn gọn về những nguyên tắc cơ bản của thiết bị thu nhận thông tin (interceptor), và những gì mà nó đã đạt được. Interceptor của Mike Bond là một thiết bị mẫu ban đầu đặt giữa một thiết bị đầu cuối Point-of-Sale (POS) ở cửa hàng và thẻ thông minh được giữ bởi khách hàng. Nó lắng nghe một cách thụ động các tín hiệu điện tử - “cuộc đàm thoại” - giữa thẻ chip và thiết bị đầu cuối, và từ đó có thể lấy được và lưu trữ số tài khoản của khách hàng. Đối với những thẻ thông minh loại rẻ hơn - “xác thực dữ liệu tĩnh” (Static Data Ạuthentication – SDA), được sử dụng bởi hầu hết các ngân hàng của Anh, nó cũng có thể lưu trữ số PIN nhập vào của khách hàng khi nó được gửi từ thiết bị đầu cuối đến thẻ, chỉ ngay sau khi khách hàng đánh số PIN đó.
Interceptor mẫu, có thể lấy được số tài khoản và số PIN từ những thẻ thông minh SDA
Thiết bị này có thể được thu nhỏ lại như một phần của một trong khoảng 450 000 thiết bị đầu cuối POS ở Anh. Nó có thể ghi lại những chi tiết về tài khoản và các số PIN của tất cả các khách hàng sử dụng nó mà khách hàng không hề hay biết, và có thể cả chủ cửa hàng cũng không hề hay biết. Những chi tiết về tài khoản và số PIN có thể được sử dụng để tạo ra những thẻ từ giả mạo để dùng ở những nước khác không hỗ trợ Chip và PIN, hoặc ở những nước có sử dụng “Chip và PIN” nhưng vẫn có hệ thống thẻ từ dự phòng hoạt động song song cùng với hệ thống thẻ chip. Ở Anh, thẻ từ dự phòng có thể dùng ở một số máy rút tiền nhưng không phải là tất cả các máy; cũng có một số máy rút tiền chưa được nâng cấp lên để đọc thẻ chip.
Một số thông tin về mẫu ban đầu của interceptor:
- Để sản xuất mẫu thiết bị này thì cần ít hơn 150$ (không kể laptop để đọc dữ liệu ra). Khi sản xuất với số lượng lớn thì nó có thể rẻ hơn. Thời gian phát triển mẫu ban đầu này xấp xỉ một tháng công, từ hai người với kiến thức vững về EMV, nhưng không có kinh nghiệm lập trình hệ thống nhúng.
- Nó được tạo bởi một vi điều khiển nhỏ - microcontroller AN2131QC Cypress (đó là một máy tính nhúng), một cặp thành phần riêng biệt, và một bảng điều khiển smartcard mà đơn thuần là cung cấp một khe cắm thẻ thông minh, một số dây nối ra sau, và một thiết bị thăm dò có hình dáng như thẻ thông minh ở mặt sau.
Một số bí ẩn về thiết bị thu nhận thông tin interceptor:
- Đây không phải là một ý tưởng mới. Rủi ro mà giao dịch Chip và PIN có thể bị bắt giữ theo cách này được biết đến bởi ngành kinh doanh ngân hàng.
- Nó không sao chép chip! Nó chỉ lấy đủ thông tin từ việc nghe được cuộc đàm thoại để tạo ra một thẻ từ giả mạo.
- Nó chỉ có thể đọc được PIN đối với những thẻ SDA. Những thẻ xác thực dữ liệu động (Dynamic Data Authentication – DDA) có thể chấp nhận số PIN ở dạng đã mã hoá, với điều kiện là thiết bị đầu cuối POS có thể cung cấp theo dạng này.
Nếu bạn muốn tìm hiểu về những rủi ro khác nhau đối với các thiết bị đầu cuối Point-of-Sale sử dụng công nghệ Chip và PIN, hãy xem những liên kết dưới đây, và đọc thông tin chi tiết…
- Bạn có thể quan tâm đến trang chủ của những người làm ra thiết bị: Mike Bond, Steven J. Murdoch, ở đó bạn có thể tìm thấy những thông tin chi tiết để liên lạc. Cũng nhờ có Harry Hollis đã sớm giúp đỡ trong việc lập trình các hệ thống nhúng.
- Website chính thức về Chip and PIN là điểm bắt đầu để tìm hiểu về Chip và PIN.
- Các tác giả và giáo sư Prof. Ross Anderson đã tạo ra một trang để mô tả những bất lợi tiềm ẩn của Chip và PIN có tiêu đề Chip and SPIN.
- Mike Bond cũng tạo một trang cung cấp tài nguyên về việc rút tiền ma - Phantom Withdrawals, bao gồm những trường hợp cụ thể của những khách hàng tranh cãi về các giao dịch ATM với ngân hàng của họ.
Những tấn công Eavesdropping (nghe trộm) và Relay
Dù smartcard rất thuận tiện để mang theo, nhưng nó vẫn thiếu một giao diện người dùng đáng tin cậy, trái với trường hợp điện thoại di động. Điều này có nghĩa là PIN không thể được cung cấp một cách trực tiếp tới thẻ, cũng vì thế mà có khả năng nghe trộm trên đường truyền tới thẻ. Việc thiếu màn hình tin cậy có nghĩa là không có cách nào để xác nhận bạn đang thực hiện giao dịch với ai, và số tiền đang được giao dịch là bao nhiêu, vì vậy có thể chuyển tiếp cho toàn bộ dòng dữ liệu đi tới một vị trí khác. Hãy xem xét chi tiết hai mặt hạn chế đã được biết đến.
Nghe trộm các thiết bị đầu cuối POS (Eavesdropping POS Terminals)
Nếu dữ liệu về tài khoản và số PIN có thể được nghe trộm từ một giao dịch EMV ở thiết bị đầu cuối POS, thật dễ dàng để tạo ra một chiếc thẻ từ chứa dữ liệu đó, nhằm mục đích gian lận ở nước ngoài nơi mà EMV không được hỗ trợ. Thiết bị nghe trộm đã trở nên phổ biến đối với những ATM được vận hành tự động, thường bao gồm một thiết bị đọc thẻ trộm được gắn lên khe đặt thẻ và một máy camera được giấu đi. Tuy nhiên có nhiều cách tiếp cận đến việc nghe trộm thiết bị đầu cuối POS, mỗi cách có mặt thuận lợi và hạn chế khác nhau:
Camera và quẹt thẻ hai lần
Cách tiếp cận cơ bản nhất yêu cầu có đại lý thông đồng. Người bán đặt camera để có thể nhìn thấy được PIN pad, và bí mật quẹt thẻ thông qua thiết bị của anh ta trước khi đưa thẻ vào thiết bị thật.
Hacked Terminal (Thiết bị đầu cuối bị phá hỏng)
Một thiết bị đầu cuối POS được mở ra và thêm các mạch/thiết bị thăm dò để theo dõi bàn phím, và ghi dữ liệu từ smartcard.
Thiết bị đầu cuối giả mạo
Vỏ của thiết bị POS thật được dùng để tạo ra vật giả mạo, mà nó chấp nhận thẻ và PIN, nhưng lại không thực hiện giao dịch. Thay vào đó, thiết bị giả mạo có thể chuyển tiếp dòng dữ liệu từ smartcard tới một thiết bị thật ẩn bên trong, nhưng cần có một hệ thống cơ cấu truyền động vật lý (physical actuator system) để nhập PIN lên thiết bị đầu cuối thực.
Terminal Skimmer
Một thiết bị bắt giữ thông tin được thu nhỏ có thể được gắn lên đỉnh của khe smartcard trên thiết bị đầu cuối POS. Từ vị trí này nó có thể bắt giữ dòng dữ liệu smartcard (nhằm lấy được thông tin chi tiết của tài khoản), và cả số PIN. Số PIN có thể lấy được bởi vì hầu hết các hệ thống của châu Âu đang sử dụng loại thẻ EMV xác thực dữ liệu tĩnh (SDA) rẻ hơn, loại thẻ này không có khoá riêng, do đó số PIN chỉ có thể được gửi ở dạng chưa mã hoá.
Cách tiếp cận bằng camera và quẹt thẻ hai lần chắc chắn thực hiện được, nhưng một hạn chế đáng kể là nó đòi hỏi phải có sự câu kết thông đồng từ phía người bán, để cài đặt camera và giấu thêm đầu đọc thẻ thứ hai vào. Thêm vào đó, một người phải xem kỹ cảnh video khi số PIN được nhập vào, sau đó cho tương quan với dữ liệu lấy được, điều đó mất nhiều thời gian và dễ gây ra lỗi. Việc chỉnh sửa thiết bị đầu cuối đang làm việc đòi hỏi phải đi vòng qua bộ phận chống giả mạo, về mặt công nghệ thì tấn công này vẫn rất phức tạp, và nó cần đến sự nỗ lực đáng kể để phá hoại mỗi thiết bị đầu cuối bằng tay.
Cách tiếp cận bằng các thiết bị đầu cuối giả mạo đang khá lôi cuốn, và mở rộng tốt hơn phương pháp hack thiết bị đầu cuối (hacked terminals). Tuy nhiên lại yêu cầu sự nỗ lực đáng kể để lập trình một thiết bị đầu cuối giả mạo mới toanh (cụ thể là điều khiển máy in hóa đơn và màn hình LCD). Tuy nhiên về mặt lý tưởng thì người bán lừa đảo lại muốn kết hợp cả kinh doanh thật và kinh doanh giả mạo theo diễn biến từng ngày.Việc cài đặt cơ cấu truyền động solenoid để PIN có thể được chuyển tiếp còn phức tạp hơn.
Tóm lại, cách tiếp cận được ưa thích hơn cả về mặt chi phí, thời gian phát triển và sự thuận tiện, đó là để tạo ra một thiết bị skimming đặt trên khe smartcard, và lấy được dữ liệu về thẻ và PIN. Mike Bond đã tạo ra một thiết bị mẫu sử dụng bộ vi điều khiển EZ-USB và máy tính laptop, chi phí tổng cộng dưới 150$, trong thời gian phát triển xấp xỉ một tháng công. Thiết bị mẫu của Mike Bond đã được chỉ ra ở đầu bài viết này.
Nó có thể dễ dàng lấy được và lưu trữ lại những thông tin chi tiết về tài khoản, số PIN đối với những thẻ SDA với số lượng lớn. Những thiết bị này có thể được dùng cho việc phát triển smartcard và POS, nhưng chi phí lại nhiều hơn 2100$ trên một thiết bị. Một thiết bị đã hoàn thành có thể được đút vào khe của thiết bị đầu cuối và rút ra trong vài giây sẽ là một vấn đề. Vì vậy sẽ dễ hơn cho việc triển khai trong những môi trường chỉ được thông đồng phần nào với người bán hàng và dễ chối cãi hơn việc cài đặt thành phần thiết bị đầu cuối giả mạo phức tạp hay các máy quay phim.
Sự thu nhỏ lại (miniaturization)
Mike Bond không cố gắng thu nhỏ thiết bị mẫu vì nó chỉ là sự chứng minh trên khái niệm, nhưng có cơ hội để làm cho nó nhỏ hơn đáng kể. Đầu tiên, các tiếp xúc giữa thiết bị đầu cuối và thẻ có thể được ẩn vào trong khe. Tiếp đó, bộ vi điều khiển có thể được ẩn ở một nơi nào đó khác và những đoạn dây ngắn được dùng để kết nối nó với các tiếp xúc. Cuối cùng, bảng vi điều khiển có thể được thu nhỏ lại.
Bảng vi điều khiển Cypress FX2LP,có gắn một con chíp nhỏ Maxim MAX1841, được dùng trong thiết bị mẫu của Mike Bond.
Bảng vi điều khiển FX2LP ở trên đã được mua từ Siphec với giá khoảng 60$, và nó có kích thước bằng một nửa bảng mạch mẫu đầu tiên của Mike Bond. Bộ vi điều khiển này chạy ở tốc độ gấp hai lần (48MHz) vì vậy loại bỏ được một chip khác trên khuôn mẫu đầu tiên. Cũng như thế, một chip với kích thước lớn khác để chuyển đổi giữa 3.3V được dùng bởi bộ vi điều khiển và 5V được dùng bởi smartcard, có thể được thay thể với MAX1841.
Hầu hết không gian trong bộ vi điểu khiển được chiếm bởi 56 pins, nhưng Mike Bond chỉ sử dụng 8. Một bộ vi điều khiển nhỏ hơn, với ít pin hơn có thể giảm kích thước đi khá nhiều.
Smartcard Relay Attacks
Những tấn công nghe trộm tập hợp những dữ liệu về tài khoản và số PIN để sử dụng vào một ngày sau đó, nhưng dựa vào hoạt động thẻ từ dự phòng. Tuy nhiên nếu những kẻ tấn công đã chuẩn bị trước một cách kỹ càng, họ có thể áp dụng việc truy cập vào dữ liệu thẻ và PIN của khách hàng trong thời gian thực: điều này được gọi là relay attack.
Ví dụ, khi bạn trả tiền cho một bữa ăn sử dụng thẻ chíp của bạn ở một cửa hàng lừa đảo, đầu đọc bị phá hoại của người bồi bàn có thể chuyển tiếp một cách đơn giản tất cả các giao dịch từ thẻ của bạn tới kẻ tòng phạm tại tiệm nữ trang ở một nơi khác gần đó. Dòng dữ liệu smartcard có thể sẽ đi qua GPRS tới PDA của kẻ ăn cắp, sau đó tới thẻ giả mạo của anh ta, và lấy được số PIN đọc ra qua headphone mà anh ta có thể nghe được. Bạn nghĩ rằng bạn đang trả tiền cho bữa ăn, nhưng thực tế bạn đang mua một viên kim cương cho kẻ lừa đảo!
Loại tấn công relay này là một sự biến đổi dựa trên tấn công nghe trộm thiết bị giả mạo, và chúng ta có thể hình dung ra thiết bị được yêu cầu để triển khai việc đó sẽ có chi phí ít hơn 2000$, mặc dù sẽ cần đến thời gian đáng kể để phát triển và gỡ rối. Chúng ta sẽ thảo luận đến biện pháp đối phó có thể được cho vấn đề tấn công relay trong một bài viết sắp tới.
Ngày 22/11/2006.
Tổng hợp: Bùi Kim Dung.
|