EMVクレジットカードの複製：PIN悪意のある人物が知っているコード

誰かが数秒間それを持ち、PINコードを知っている場合、クレジットカードは複製されます（チップまたは磁気バンド）。

場合によります。

• 磁気バンドは簡単に複製でき、PINでそれを複製する必要はありません。PINは後でカードを使用する場合にのみ必要です。これはクローニングは可能であるだけでなく、犯罪者によって 広く行われている です。
• チップは、少なくとも犯罪者が利用できる現在の方法ではクローンできません。 PIN=コードを知っているとしても。本質的に磁気ストライプよりも安全であり、そのため米国は [〜＃〜] emv [〜＃〜 ] by 10/2015 （または、少なくとも誤用に対する責任は、EMV以外の支払いを受け入れるものに移行します。）Europaでは、EMVはすでに何年も一般的であるため、クレジットカードのクローン作成は少なくなります問題。

TL; DR：

多くの脅威は、攻撃者がカード番号と有効期限だけを知っており、PINを知らないことに依存しています。個人的に、何かを変更する場合は、PINの代わりにカード番号を変更するように要求するだけです。

インターネット上のいくつかのWebフォームは、一部の国ではカードを更新するときに同じカード番号を維持するために使用されているような印象を与えます。フランスでは（少なくとも）カード番号は2〜3年以上有効ではありません。この期間が過ぎると、カードは番号が部分的に異なり、可能な限り予測不能な新しいカードに交換されます（反対に、明示的な要求がない場合= PINコードは何年も同じで、カードの更新も同じです）。

TS; IWM：（短すぎる;もっと欲しい！;））

理論的な観点から、スマートカードはネットワーク化されたコンピューターと比較できます。スマートカードのコンテンツには直接アクセスできず、チップに要求を送信して（データにアクセスするか、操作を実行する必要があります）、プロトコルの要件に応じてチップが応答します（一部のリクエストなどの前に認証が必要になる場合があります）。

したがって、依然として理論的な観点から見ると、スマートカード自体は安全であると見なすことができ、これにより、スマートカードに基づくシステムは「破壊不可能」またはそのようなカードは「複製不可能」であると主張する誤ったマーケティング談話につながりました。ただし、支払いシステムのような複雑なシステムは、EMVカードのセキュリティだけに縮小することはできません。プロトコルからデバイスまで、支払いシステムの弱体化とそれを遠くまで進めるさまざまな要素の多くを考慮する必要があります。 「壊れない」から。

短すぎるキーを使用（1993-1998）

スマートカードは フランスの発明 であり、フランスは明らかに、決済システムのセキュリティを強化するためにこのテクノロジーを早期に採用しました。実際、磁気ストライプは十分に安全であるとは認識されておらず、将来はこの弱点が真実であることが示されています（たとえば このビデオ の終わりに、誰かがホテルのドアからクレジットカードを作成しているのを見ることができます）カード）。

「GIE Cartes bancaires」（フランスの銀行コンソーシアムがスマートカードベースの支払いシステムを扱う）はこのシステムは壊れないと主張しているにもかかわらず、セキュリティ研究者 Serge Humpich は非公開で彼らに連絡し、これが真実ではないことを示した。使用されている秘密鍵が短すぎるため、Serge Humpichは実際に、カードを複製するだけでなく、空想的な番号を持つ新しいカードを作成することもできました。

Serge humpichの目標は、「GIEカルテバンケール」がシステムのセキュリティを改善するのを助けることでしたが、リバースエンジニアリングを行ったとして彼を訴えた報酬として、報酬として、「GIE Cartes bancaires」は彼のセキュリティシステムをリバースエンジニアリングしたことで彼を訴えました。

それにもかかわらず、このイベントの後、プライベートは最近アップグレードされた広告で、その長さが見直されます 毎年 ）。

磁気ストライプをフォールバックするための少しのテープ

スマートカード決済システムはまだ世界中で広く受け入れられていません。ATMと決済デバイスは、チップが利用できない、または読み込めない場合に、磁気ストライプをフォールバックとして受け入れます。

次の問題：チップにテープを貼ることで、ATMを強制的に簡単に偽造可能な磁気ストライプにフォールバックさせることができ、実際にチップ自体を複製することなく、チップ対応カードでも複製することができます。

一部の銀行は、EMV対応カードによる支払いをチップのみに制限することで対応しましたが、EMVCoコンソーシアムは、有効な磁気ストライプの作成を防ぐために、チップと磁気ストライプで異なるCCV（3番号ID）を使用することも提案しましたチップから読み取られたデータから（iCCVと呼ばれ、これが広まっているかどうかはわかりません。上記のリンクのビデオは、NFCを介して収集されたデータを使用して磁気ストライプを偽造していることを示しています... ）。

通信プロトコルが複雑すぎて安全ではない

チップ、支払い/ ATMデバイス、および銀行を含むプロトコルは非常に複雑で、非常に複雑です 一部の人によると 。カードとデバイス間の通信は完全に保護されていません（一部の手順には暗号化や署名などが含まれていません）。これには、いくつかの下位互換性および国際互換性機能と、技術的な問題が発生した場合でもトランザクションを続行できるその他の機能が含まれます。さらに、トランザクションを構成するさまざまなステップは緊密ではありません。

このすべての複雑さにより、欠陥はほとんど修正できなくなり、次のMan-In-The-Middle（MiTM）攻撃を含む幅広い攻撃への扉が開かれます。

以前に見られたような単純なテープの代わりに、攻撃者は特別に細工された2番目のチップを本物のチップの上に置き、MiTMプロセスのすべてを担当します。それは例えば：

• PIN authentication を担当して、チップと署名のトランザクションを確認していると本物のカードをだましていると見なします（Cambridge大学からのフランス語のリンクは、以下を参照してください）。 、
• たとえば、オプションの暗号化を無効にするために、セキュリティ設定をダウングレードできます。
• チップは支払いデバイス側にインストールすることもでき、情報とそれを通過するすべてのカードからPIN番号をキャプチャします。攻撃者は、特別に細工されたスマートカードを使用して、または単にたとえば、Wi-Fi機能がMiTMデバイスに含まれている場合（そのようなデバイスは、上記のリンク DefConビデオ を提示するチームが実際に遭遇したものです）は、シリアル番号を見つけるのがさらに心配されましたこのようなデバイスでは、一部の半工業生産を意味します）。

システムが複雑すぎて正しく実装できない

標準的な複雑さは、実装の脆弱性を助長します。

ケンブリッジ大学の研究者 は、いくつかのATMが弱い疑似乱数ジェネレータを使用していることを示しています。カードには検出できない秘密の暗号化キーが含まれていますが、悪意のある支払いデバイスがカードをだましていくつかの署名付きメッセージを事前に作成し、そのような弱いATMに対して使用することで、悪意のある「クローン」カードを本物のカードとして効果的に機能させることができますATMの観点から。

この攻撃は2012年に説明されており、それ以来、弱いATMがアップグレードおよび修正されたと言われています。しかし、2014年末までに新聞はまだ これに奇妙に近い攻撃を説明する のようです。おかしなことに、この記事では、一部のEMV支払いが磁気ストライプのみのカードで処理されたため、攻撃を検出した銀行について言及しています。

その他の攻撃

最後に、クローンデバイスによって取得されたカード番号が役立つ他の状況についても触れざるを得ません。

• すべてのATMは、リクエストを進める前に銀行の承認を必要としますが、すべての支払いシステムがそうであるとは限りません。それらのいくつかは、主に支払いを非常に迅速に処理する必要がある場所（高速道路、自動化されたガソリンスタンドなど）または少量の場合は銀行に連絡せず、カードで行われた取引所のみに依存して取引を受け入れます。銀行承認能力のないこのような支払いシステムは、「Visa Electron」カード（このカードはトランザクションごとに銀行承認が必要です）を受け入れないことを通知する通知によって認識されることがよくあります。
• 収集したカード番号は、オンライン、電話、または通信販売の支払いにも使用できます。 3桁のCCV番号を要求していない（または要求していないが確認していない）Webサイトがまだたくさんあり、それらはVisa 3-D Secure/MasterCard SecureCodeシステムに登録されていません。いいえPINここでは必要ありません。カード番号と有効期限のみが必要です。認証は必要なく、チップによって提供される情報そのものです。

顧客の責任

補足として、これらすべての悪い点は、EMVとラベル付けされたトランザクションを生成する上記の攻撃のいくつか（物理カードが使用されているかどうかに関係なく）が、ほとんどの場合、消費者に金銭的影響の直接の責任を負わせることです。実際、ほとんどの銀行は、PINコードが使用されていないため、詐欺を対象としています。スマートカードのセキュリティが誤っていると仮定すると、トランザクションはすぐにログにEMVとして表示されますは壊れない、彼らはしばしば盲目的にPINコードが使用されており、消費者が 過失によって責任がある であると考える。

英国の観点から言えば（これについてはかなりの経験があります。最近、テレビでこれを行いました法的に）注意すべき点がいくつかあります。まずカード自体をセクションに分割しましょう。

チップ

十分なリソースとエンジニアリングがなければ、チップをコピーまたは複製することはできません。それは不可能ではありません、ただあなたをマグカップに入れて、実際のカードを盗む方が速いでしょう。これらのチップは、英国では数年間一般的です（実際にはデフォルトで発行されています）。

マグストライプ

私たちがすでに知っているように、磁気ストライプのクローン作成はスキマーで簡単かつ迅速に行うことができます。これらは現在ほとんどどこでも利用可能で、明らかに本物の使用法と並んでいます...知っています...クローニング

非接触チップ（RFID）

理論的には、ターゲットカードに対してリプレイタイプの攻撃を実行し、別のカードに複製することができますが、これにはカードをコピーするのにかなりの時間（約2〜5分）がかかり、「ブリック」する可能性があります。

この場合のRFIDクローン作成と同様に、チップクローンが作成されていないため、磁気ストライプクローンから発生する可能性のある損傷トランザクションによって異なります。オンラインでの購入にはPINは必要ありませんが、通常はカードに記載されていない情報（CVV/CSV /請求先住所/銀行によるパスワード認証）が必要です。一部のWebサイトでは、人々は小切手なしで注文できますが、それらの場所は急速に時代遅れになっています。同様に、銀行内のキャッシュポイントATMは、チップがないため、カードを拒否（または飲み込み）します。

ただし、文字通り任意のショップに「持ち込む」ことができるスタンドアロンのサードパーティのATMは、複製されたカードを受け入れるように騙されますPINなし。これはどのように作動しますか？英国では、PINはチップ自体、または少なくともハッシュバージョンに格納されます。カードを挿入すると、磁気ストライプとチップが読み取られ、銀行に連絡し、ピンが入るのを待ち、チップと照合して確認します。その後、発行銀行がすべてを明確にした場合は、お金を引き出します。

テクノロジーのおかげで、ここではバイパスが機能します。またはそれの欠如。 2つのポイント間の100％の稼働時間のインターネット接続は保証されないため、磁気ストライプのみのトランザクションを受け入れることができるサードパーティのATMの組み込みフォールバックがあります発行銀行とインターネット接続を確立できない場合。後で処理するためにキューに入れるだけです。これは通常、ATMのイーサネットプラグを文字通り引き抜くことによって作成する単純な状況です（パケットの煩わしさを気にし、何らかの形でパケットを注入する人や、単純なDNSを失敗させる人への小道具は失敗します）。

PINハッシュは読み取り不可能であるため、最良の部分はPINが機能することです。一部のATMはこのピン入力画面をバイパスしますが、そうしないものもあります。

また、ベンダーに出荷された決済端末には通常、デフォルト設定が付属しています。つまり、チップの破損が検出された場合、最終的に磁気ストライプにフォールバックするまで、3回再試行します（PINエントリは必要ありません）。

あなたの発行銀行は試みられた引き出し/残高クエリなどを検出することができますので、疑わしい場合は電話して質問してください。また、許可なく使用した場合は、日付、時刻、場所（地域のセキュリティ映像など）を取得することもできます。

推奨事項-決してカードを誰にも与えないでくださいそして、それが侵害された可能性があると思われる場合は、すぐに発行者に電話して伝えてください。カードごとにピンを別のものに変更します（そして、その非接触の非接触チップを切り取ります、それは悪いニュースにすぎません）

編集する

現在カードスキマーが行う一般的なことは、すべての情報をデータベースにまとめ、パッケージとして販売することです。複製されたカード、またはWebサイト上のデータでさえ、リスクが高すぎます。 100、1,000、または10,000のクレジットカードの詳細で販売する方が、1枚のカードのクローンを作成し、うまく機能するように祈り、人里離れた場所を見つけ、試して、OpSecを実行するよりもはるかに簡単です。