Читаем Мошенничество в платежной сфере полностью

Уязвимость эмитентов, сертифицированных на соответствие PCI DSS, подтверждена инцидентами по компрометации критичных аутентификационных карточных данных. 8 ноября 2008 г. в течение 30 минут денежные средства банка Royal Bank of Scotland снимались в более чем 130 банкоматах 49 городов мира, в том числе в Нью-Йорке, Атланте, Чикаго, Монреале, Гонконге, Москве, похищено $ 9 млн. Процессингом Royal Bank of Scotland являлся RBS WorldPay Inc., который на момент компрометации имел сертификат соответствия PCI DSS (дата проверки 31 июля 2008 г., QSA — Trustwave). RBS WorldPay в марте 2009 г. на основании правил PCI DSS был исключен из списка соответствующих стандарту. Но сразу же сделал заявление, что вновь пройдет сертификацию в мае 2009 г. Что и было выполнено (31 мая 2009 г., QSA — Verizon Business). Вероятно, уязвимости, использованные злоумышленниками, не были связаны с невыполнением требований стандарта PCI DSS. Позднее Федеральная служба безопасности России по данному инциденту задержала Виктора Плещука и Евгения Аникина, которым было предъявлено обвинение по пункту «б» части 4 статьи 158 УК РФ «Кража в особо крупном размере». Виктор Плещук заключил досудебное соглашение о сотрудничестве со следственными органами и был приговорен Калининским райсудом Петербурга к шести годам условно. Евгений Аникин был приговорен Заельцовским районным судом Новосибирска к пяти годам лишения свободы условно.

Аналогичная атака была осуществлена в 2013 г. на ближневосточные банки Muscat и Ragbank, в результате которой было похищено $45 млн. Злоумышленники взломали процессинговые компании (EnStage и ElectraCard Services), скомпрометировали данные о дебетовых картах (ПИН и трек), увеличивали доступный лимит снятия наличных и по поддельным картам обналичивали средства через банкоматы, расположенные более чем в двух десятках стран по всему миру. Оба процессинговых центра были сертифицированы по PCI DSS (EnStage: 31 декабря 2011 г, ControlCase India; ElectraCard Services: 29 августа 2011 г., ControlCase). Данную атаку международные платежные системы Visa и MasterCard назвали cash-out и выпустили бюллетени безопасности, в которых была несколько приоткрыта технология атаки на ПИН-коды. Хакеры использовали штатную процедуру запроса легальным держателем карты ПИН-кода. То есть фактически произошел взлом эмитентской части процессинговых систем, которая не входит в зону аудита PCI DSS.

При сговоре офицеров безопасности, владеющих компонентами криптографических ключей LMK (локальный мастер ключ), ZMK, ТМК, PW, также возможна компрометация ПИН-кода. При печати ПИН-конвертов на первом слое конверта остаются следы ударов печатающей головки матричного принтера (проколы иголок), по которым можно восстановить ПИН-код. При передаче ПИН-конверта держателю на этапе транспортировки возможно вскрытие конверта, компрометация ПИН-кода и последующее изготовление нового конверта.

Europay в октябре 1999 г. признала скомпрометированными около 65 000 карт, побывавших в России. Все они проходили через банкоматы, обслуживавшиеся процессинговым центром Union Card. В марте 2006 г. в СМИ была опубликована информация, что в результате компрометации терминальных мастер-ключей в сети Ситибанка скомпрометированы 600 000 карт.

От компрометации криптографических ключей в эквайринговой сети надежно защищает система Remote Key Management, которая обеспечивает удаленную загрузку терминальных мастер-ключей. Данную технологию поддерживают производители криптографических модулей Thales (HSM 8000) и банкоматов NCR, Diebold, Wincor. Российский производитель ПОС-терминалов Yarns также обеспечивает удаленную загрузку терминальных криптографических ключей.

EMV-миграция предполагает постепенный переход от карт с магнитной полосой к картам с микропроцессором. Для обеспечения совместимости двух технологий на время переходного периода появляются комбинированные карты, то есть на карте присутствуют и магнитная полоса, и микропроцессор. Как это ни парадоксально звучит, но на время переходного периода использование комбинированных карт с магнитной полосой и микропроцессором увеличивает уязвимость технологии платежных карт. Связано это с тем, что уязвимости карт с магнитной полосой складываются с уязвимостями МПК и в результате появляются новые уязвимости, которые отсутствуют, если рассматривать магнитную полосу и МПК по отдельности.