Positive Technologies. KazHackStan 2018

1. Юнусов Тимур
РАДИ ДЕНЕГ. Безопасность платежных терминалов.

2. Ради чего мы здесь?

5. Аудит платежных терминалов и эффективности
антифрода

6. Безопасность в банках

7. Безопасность в банках

8. Blackhats
Основные хакерские
группировки
Средний уровень,
подхватывающий уже
популяризованные техники
монетизации
и продающие их дальше
Scriptkiddie,
покупающие
готовые решения.
Массовка, бОльшая
часть атак

9. Типы операций
Магнитная полоса Chip & PIN / Chip & Signature
Бесконтактные платежи Card Not Present

10. Недостатки

11. Magstripe

12. Magstripe

13. Chip & PIN
https://thehackernews.com/2015/10/hacking-chip-n-pin-cards.html
2011-2012, stealing about 600,000 Euros from 40 cards
1. PIN OK
2. Chip & Signature
3. CVM tampering to offline PIN
4. Clone transactionscards

14. Chip & PIN
https://thehackernews.com/2015/10/hacking-chip-n-pin-cards.html
2011-2012, stealing about 600,000 Euros from 40 cards
1. PIN OK
2. Chip & Signature
3. CVM tampering to offline PIN
4. Clone transactionscards

15. Contactless
- Visa MSD mode
- клонируем карты
- Мобильные wallet Visa
- клонируем карты
- Master Card dCVV mode
- клонируем транзакции
- Offline транзакции
- Лимиты – вещь относительная

16. Card Not Present
BIN Master attack

17. А причем тут терминалы?
1. Money movements
2. Тестирование баланса
3. Источник для исследований

18. Как скомпрометировать терминал
Windows / Linux / Ingenico OS / Verifone OS
1. Недостатки ACL
2. Buffer/Stack overflow
3. Доступ к прошивке
4. Дефолтные учетные записи

19. Findings

20. @abbot
РАХМЕТ!