The researchers conducted an attack that succeeded in tricking a card reader into authenticating a transaction, even though no valid PIN was entered. In a later test, they managed to authenticate transactions, without the correct PIN, with valid cards from six different card issuers.
In particular, the terminal can record that a PIN verification has taken place, while the card itself receives a verification message that does not specify that a PIN has been used. The resultant authorization by the terminal is accepted by the bank, and the transaction goes ahead.

This means that while a PIN must be entered, any PIN code would be accepted by the terminal, the researchers said in a paper entitled Chip and PIN is Broken.

Asta înseamnă că atât pe acea chitanță cât și în jurnalele băncii va apărea faptul că a fost o tranzacție verificată cu PIN. Vedeți și demo cu tot cu explicații plus explicațiile stupide ale băncilor:

Acum mai demonstrează că nu tu ai scos banii.

Alții au afirmat că fără poliție nu poți face nimic, că mai întâi trebuie să faci o plângere la poliție. Mai mult sau mai puțin adevărat. Iată un răspuns venit chiar din partea BRD în care spune cum fac ei investigațiile, de aici:

Aici trebuie precizat ca notiunile de neglijenta, rea-credinta sau intentie de frauda sunt interpretate de banca, impreuna cu procesatorul de carduri (MasterCard, Visa), cu ajutorul politiei.

Legal, într-adevăr, banca este acoperită, conform normelor BNR în care se precizează următorul lucru:

Art. 26. – Prin derogare de la prevederile art. 25, detinatorul nu este raspunzator pentru tranzactiile executate, daca instrumentul de plata electronica a fost utilizat fara a fi prezentat fizic sau fara identificarea electronica a acestuia (PIN, coduri de acces).

… conform Regulament BNR nr. 6 din 11/10/2006 privind emiterea și utilizarea instrumentelor de plată electronică și relațiile dintre participanții la tranzacțiile cu aceste instrumente. Așadar, teoretic, chiar dacă ați face o tranzacție în țară iar după câteva minute o alta într-o altă țară, atâta timp cât aceste tranzacții au fost verificate cu PIN, singurul răspunzător ești tu! Consider că acest regulament ar trebui adaptat la noile tipuri de atacuri existente în acest moment.

Banca ar fi putut face mai multe investigații? Cu siguranță! Dar de ce să îți pese de client?

În principal am vorbit despre modul în care pot fi exploatate aplicaţiile stocate pe cartela SIM (SIM Application Toolkit), dar şi despre metodele prin care ne putem proteja (din păcate nu prea multe). Câteva idei:

• atacul reprezintă de fapt trimiterea unui mesaj text tip comandă către cartela de telefon
• problema a fost raportată către CERT (Computer Emergency Response Team) de mai bine de un an, însă din păcate ei nu au primit feedback de la persoanele şi companiile anunţate
• pentru a avea succes nu este nevoie ca utilizatorul să aibă vreo aplicaţie instalată pe telefon şi nici de acces fizic la telefon
• este o modalitate eficientă de atac întrucât serviciul de SMS este întotdeauna pornit, utilizatorii primesc mereu mesaje indiferent dacă se află într-o convorbire sau navighează pe net
• chiar dacă se instalează aşa-zisele call blacklist, care pot bloca şi mesajele, telefonul tot primeşte mesajul, doar că nu e afişat pe ecran
• prin însuşi modul în care este este definit standardul GSM, aceste tipuri de mesaje trimise nu vor apărea în Inbox şi utilizatorul nici nu va fi anunţat în vreun fel ca a primit un mesaj
• comanda trimisă prin SMS este direcţionată către cartela SIM, care execută instrucţiunea şi apoi trimite răspunsul la numărul de la care a primit mesajul
• aplicaţia SIM este de fapt acel meniu ce poartă de obicei numele operatorului (Orange, Vodafone, etc) şi vă oferă servicii precum SIM backup, Vremea, Mobile banking, etc
• dacă SIM-ul nu are acest extra-meniu, atunci atacul nu merge, deci sunteţi protejaţi
• hint: în România un singur operator de telefonie mobilă nu distribuie cartele SIM ce au vreo aplicaţie pe ele
• răspunsul trimis este sub formă de SMS, deci utilizatorul va fi taxat pentru acest mesaj (doar dacă nu are cumva un plan tarifar cu minute nelimitate)
• există provideri de SMS-uri ce permit trimiterea mesajelor cu orice identitate (se pot trimite mesaje ca venind din partea lui Moş Crăciun de exemplu)
• întrucât cartela răspunde la comandă prin trimiterea unui mesaj şi întrucât cel care atacă poate modifica numărul de pe care a fost trimis mesajul, se poate foarte simplu trimite un mesaj către un număr cu suprataxă
• schematic, ar fi cam aşa: atacator trimite mesaj comandă provenind de la numărul cu suprataxă 1567 (luat la întâmplare) către numarul 071234567xx -> cartela cu acest număr primeşte comanda, o execută şi transmite rezultatul execuţiei către numărul 1567 -> victima este taxată cu 10 EUR (spre exemplu).
• preţ trimitere mesaj de către atacator, folosind un provider de mesaje text: 5 centi sau 0.05 EUR; preţ plătit de victimă: 10 EUR; câştig total atacator pentru un singur mesaj: 9.95 EUR; multiplicarea atacului la cât mai multe persoane: de nepreţuit
• nu de fiecare dată telefonul afişează faptul că SIM-ul trimite un mesaj text, depinde de producător şi model
• această vulnerabilitate nu are nicio legătură cu hacking-ul, ci este o modalitate normală de comportare aşa cum e specificat în GSM
• cea mai eficientă metodă pentru a protecţie este cea care ar trebui să fie oferită de operatorul de telefonie, prin filtrare acestor tipuri de mesaje care nu vin din partea unor numere prestabilite sau din propria reţea

Slide-urile de la prezentare le puteţi găsi aici: CLICK ME!

Un lucru îmbucurător este faptul că cei de la RIM (care produc telefoanele BlackBerry) m-au contactat după conferinţă pentru a le trimite toate detaliile întrucât nu toate telefoanele lor avertizează utilizatorul asupra faptului că un mesaj iniţiat de cartela SIM este în curs de trimitere şi nici nu oferă blocarea acestor mesaje.

Înregistrarea video (în engleză) o găsiţi mai jos – procesarea video e făcută de mine, abia în februarie iese înregistrarea oficială:

Sper că operatorii de telefonie şi producătorii de telefoane  nu vor încerca mascarea acestor lucruri prin ameninţări, pasarea responsabilităţii în altă ogradă , etc. Totodată sper ca prin cele prezentate lumea va deveni mai conştientă asupra acestor probleme şi se va gândi de 2-3 ori înainte să-şi dea numărul de telefon, CNP-ul, PIN-ul de la card, adresa exactă şi alte informaţii folosite la întrebările secrete ce pot deveni periculoase în mâinile unui atacator.

Referinţe de citit – vizitat:

ETSI TS 100 901 V7.5.0 (2001-12), page 13
ETSI TS 100 901 V7.5.0 (2001-12), page 38
ETSI GSM 11.14, December 1996, Version 5.2.0, page 33
ETSI TS 100 901 V7.5.0 (2001-12), page 42
ETSI TS 101 181 V8.9.0 (2005-06), page 13
ETSI TS 101 181 V8.9.0 (2005-06), page 13
http://adywicaksono.wordpress.com/2008/05/21/
http://bb.osmocom.org/trac/wiki/dct3-gsmtap
http://berlin.ccc.de/~tobias/cos/s60-curse-of-silenceadvisory.txt
http://en.wikipedia.org/wiki/SMS
http://www.gemalto.com/techno/stk/
http://www.mseclab.com
http://www.nobbi.com/pduspy.html
https://gsm.tsaitgaist.info/doku.php?id=siminfo

Keep it safe!