რამდენად უსაფრთხოა თქვენი ჩიპიანი საკრედიტო ბარათი?

ჩიპინი საკრედიტო და სადებეტო ბარათები ისეა დიზაინირებული, რომ მასზე არსებული მონაცემები გამოუყენებადი გახადოს როგორც სკიმერებისთვის, ისე საკრედიტო მონაცემების შემგროვებელი ვირუსების შემქმნელებისთვის მაშინ როდესაც ვდებთ წამკითხავში და არ ვიყენებთ წამკითხავზე მაგნიტური ზოლის გამოყენებით ბარათის ჩამოსმას. მიუხედავად ამისა, ბოლოდროინდელი შეტევები აჩვენებს, რომ კიბერ თაღლითები იყენებენ იმ სისუსტეს, რომელიც ფინანსური ინსტიტუტების მიერ ამ ტექნოლოგიის არასწორ იმპლემენტირებაშია დაშვებული. ამ შეცდომის გამოყენებით, ბოროტმოქმედებს საშუალება აქვთ მოპოვებული მონაცემები წარმატებით გამოიყენონ ყალბი მუშა ბარათების დასამზადებლად.

ტრადიციულ საგადასახადო ბარათებში მონაცემები კოდირებულია მაგნიტურ ველზე ღია ტექსტური სახით, რაც სკიმერებს საშუალებას აძლევს სპეციალური მოწყობილობით (სკიმერით) წაიკითხონ ეს მონაცემები და შემდეგ გამოიყენონ კიდეც. იგივე შეუძლიათ საგადასახადო ტერმინალებზე შეღწეულ ვირუსებსაც.

ამის საპირისპიროდ, ჩიპიანი ბარათები იყენებენ ტექნოლოგიას რომელიც შიფრავს ჩიპზე არსებულ ინფორმაციას და EMV სახელით არის ცნობილი. ეს ტექნოლოგია ჩიპისა და ჩიპის წაკითხვის უნარის მქონე ტერმინალის ყოველი კავშირისას აგენერირებს უნიკალურ შიფრაციის გასაღებს, რომელსაც ტოკენს ან კრიპტოგრამას ეძახიან.

ძველ სისტემებს ახალი ბარათების წაკითხვის უნარი რომ გააჩნდეთ, ჩიპიანი ბარათები ასევე შეიცავენ იმ მონაცემებს რასაც მხოლოდ მაგნიტურ ზოლიანი ბარათები. ეს ორმაგი ფუნქციონალი ბარათის მფლობელს ასევე აძლევს საშუალებას, რომ გამოიყენოს მაგნიტური ზოლის გამოყენებით ტერმინალზე ბარათის ჩამოსმა იმ შემთხვევაში თუ რაღაც მიზეზით ჩიპი დაზიანდა ან კონკრეტულ მომენტში არ მუშაობს მერჩანტის EMV ტექნოლოგიის მქონე ტერმინალი.

თუმცა EMV სისტემის მქონე ჩიპსა და მაგნიტურ ზოლზე განთავსებულ მონაცემებს შორის მნიშვნელოვანი სხვაობაცაა. ერთ-ერთი მათგანია ჩიპზე არსებული iCVV (integrated circuit card verification value) მონაცემი. iCVV განსხვავდება მაგნიტური ზოლის დამცავი სისტემა CVV-სგან რომელიც მაგნიტურ ზოლზეა ჩაწერილი. აქვე შევნიშნავთ, რომ ეს ორივე მონაცემი არ არის კავშირში ბარათის უკანა მხარეს არსებული 3 ციფრიან უსაფრთხოების კოდთან, რომელიც უმეტესად ონლაინ გადახდებისას უსაფრთხოებისთვის გამოიყენება.

EMV-ს მთავარი აზრი იმაში მდგომარეობს, რომ იმ შემთხვევაშიც კი, როდესაც სკიმერი ან ვირუსი მოახერხებს ტრანზაქციისას (როდესაც ბარათი ტერმინალში დევს) მოიპოვოს მონაცემები, ეს მონაცემები მხოლოდ ამ ერთი ტრანზაქციისთვისაა ვალიდური და სწორად იმპლემენტირებული სისტემა ამ მონაცემების მეორედ გამოყენების საშუალებას არ უნდა იძლეოდეს.

თუმცა, იმისთვის რომ EMV სისტემამ გამართულად იმუშაოს, ბარათების მწარმოებელი კომპანიების back-end სისტემებზე უნდა მოწმდებოდეს ორი შემთხვევა: როდის იდება ბარათი ჩიპის წამკითხველ ტერმინალში და როდის ხდება მაგნიტური ზოლის გამოყენებით გადახდა. პირველ შემთხვევაში უნდა მოწმდებოდეს რომ არსებობს მხოლოდ iCVV მონაცემი, ხოლო მეორე შემთხვევაში მხოლოდ CVV მონაცემი. თუ რაიმე მიზეზის გამო ეს ასე არაა, სისტემა ტრანზაქციას მომენტალურად უნდა უარყოფდეს.

პრობლემა ისაა, რომ ყველა ფინანსურ ინსტიტუტს არ აქვს მსგავსი შემოწმების სისტემა სწორად იმპლემენტირებული და 2020 წელსაც კი არაერთი ფინანსური ინსტიტუტი არასწორად ახორციელებს ბარათებით გადახდისას უსაფრთხოების შემოწმებას.

ცოტა ხნის წინ Cyber R&D Labs-მა გამოაქვეყნა 10 სხვადასხვა ბანკის მიერ ჩიპებისა და back-end სისტემების იმპლემენტაციის შესახებ კვლევა. კვლევამ აჩვენა, რომ 4 ბანკის მიერ იმპლემენტირებული სისტემიდან მონაცემების კლონირება შესაძლებელი იყო მაგნიტური ზოლის მქონე ყალბ ბარათზე, რომლის გამოყენებაც შემდეგ წარმატებით შეიძლებოდა. არსებობს საფუძვლიანი ვარაუდი, რომ ის მეთოდი რომელიც მონაცემების კლონირებისთვის გამოიყენა Cyber R&D Labs-მა ასევე იყენებს POS ტერმინალების ვირუსი ოღონდ არა კვლევის, არამედ ბოროტი მიზნებისთვის.

მაგალითად, ივლისის დასაწყისში, VISA-მ გამოაქვეყნა განცხადება, რომელშიც ნათქვამი იყო, რომ ერთ-ერთი მერჩანტის EMV სისტემის მქონე POS ტერმინალებიდან ვირუსმა მოახერხა მონაცემების კლონირება, თუმცა ვინაიდან back-end-ზე მონაცემთა დამუშვება გადახდების შემოწმება სწორად იყო იმპლემენტირებული, ამ მონაცემების გამოყენებას ფაქტიურად არ ჰქონდა აზრი. კიდევ ერთი მაგალითია Key Food Stores Co-Operative Inc. – ჩრდილოეთ ამერიკაში არსებული სუპერმარკეტების ქსელი, რომელიც ასევე გახდა EMV სისტემის მქონე POS ტერმინალზე ვირუსული შეტევის მსხვერპლი. განცხადებაში ნათქვამი იყო, რომ EMV სისტემებზე ვირუსმა, სავარაუდოდ, მხოლოდ ბარათის ნომრისა და თარიღის კლონირება შეძლო.

თუ დავუშვებთ, რომ Key Food Stores Co-Operative Inc. განცხადება სიმართლეს შეესაბამება და მხოლოდ აღნიშნული მონაცემების კლონირება იყო შესაძლებელი, ამ შემთხვევაშიც კი ლოგიკურია ვიფიქროთ, რომ მათი გამოყენება შესაძლებელი იქნება მაგნიტურ ზოლიანი ბარათის დასამზადებლად. არასწორად იმპლემენტირებული back-end სისტემა კი ამ ბარათს ჩვეულებრივად გაატარებს.

ახლახანს Gemini Advisory-მ გამოაქვეყნა პოსტი, სადაც ნათქვამია, რომ მოპარული მონაცემები რომელიც დარქ ვებში გასაყიდად გამოჩნდა, EMV სისტემებიდან იყო. Gemini ასევე აღნიშნავს კიდევ ერთ შეტევას, კონკრეტულად კი ჯორჯიის შტატში არსებული ლიქიორების მაღაზიათა ქსელიდან EMV სისტემის მქონე POS ტერმინალებიდან ბარათის მონაცემების მოპარვას. თუ გავითვალისწინებთ იმას, რომ მონაცემების მოპარვა ფაქტიურად მთლიანი ქსელიდან მოხდა, ნაკლებად სავარაუდოა ეს ფიზიკური სკიმერების გამოყენებით მომხდარიყო. როგორც ჩანს, ბოროტმოქმედებმა მონაცემების დაშორებულად შეგროვების სხვა ხერხს მიაგნეს.

დასკვნის სახით ვიტყვით, რომ გარკვეული მიზეზების გამო, კვლევები არ აჩვენებს კონკრეტულად რომელი ფინანსური ინსტიტუტების მიერ ირღვევა უსაფრთხოების სტანდარტები, ამიტომ მომხმარებლები მაქსიმალურად ფრთხილად უნდა იყვნენ ბარათის გამოყენებისას და არაავტორიზებული ტრაზაქციის აღმოჩენისას დაუყოვნებლივ მიმართონ ბანკს. ფინანსურმა ინსტიტუტებმა კი ყურადღება უნდა მიაქციონ სხვადასხვა მეთოდებით განხორციელებული ტრანზაქციების შემოწმების სისტემების სწორ იმპლემენტაციას და მუდმივად გატესტონ ისინი.