Исследователи компании Rapid7 продемонстрировали на конференции Black Hat, что банковские карты с чипами, работающие по международному стандарту EMV (Europay + MasterCard + VISA), немногим безопаснее обычных карт с магнитной полосой. Вместо уже привычных скиммеров эксперты создали шиммер. Установка этого миниатюрного устройства на банкомат приводит к тому, что машина начинает выплевывать деньги.
Хотя так называемая система «chip and pin» давно применяется в Европе и не только, в США EMV-карты были распространены мало. Исследователи Rapid7 говорят, что сейчаc, когда это меняется, американские пользователи снова станут целью для кардеров.
«США наконец-то догоняет остальной мир и начинает использовать chip and pin, — в ходе презентации рассказал Тод Бирдсли (Tod Beardsley), главный ИБ-исследователь Rapid7. — Но безопасность chip and pin немного перехвалена».
В ходе выступления на Black Hat эксперты Rapid7 рассказали крайне мало технических подробностей о своей атаке, так как они опасаются, что показанную технику могут «позаимствовать» хакеры. Эксперты сообщили, что перед таким вектором атак уязвимы большинство производителей банкоматов и большинство банков, но не стали называть конкретных названий.
Дело в том, что, по данным Rapid7, найденную проблему легко устранить, и исследователи дали компаниям возможность спокойно исправить баг. Показанный хак делится на две стадии. В отличие от карт с магнитной полосой, обычный скиммер не поможет против карты с чипом, так как система chip and pin предлагает лишь небольшое временное окно для осуществления транзакций.
В теории, это очень хорошо для безопасности. Однако специалисты Rapid7 создали миниатюрный девайс, который назвали шиммер (shimmer). Устройство, по аналогии со скиммером, помещается в слот для карт подобно клину (отсюда и название shimmer, от английского shim – клин). Таким образом шиммер оказывается между чипом карты и датчиком банкомата. Установленный в банкомате шиммер считывает с чипа данные, в том числе информацию о введенном жертвой PIN-коде, и отправляет злоумышленникам. Здесь начинается вторая стадия атаки, когда мошенники, используя подключенный к интернету смартфон, скачиваю данные похищенной карты, а затем используют их в любом банкомате.
«Все модификации банкомата – чисто внешние. Мне не нужно его вскрывать, — рассказывает Бирдсли. — Это не клонирование. Это просто карта, которая может притвориться чипом».
По сути, после удачно проведенной атаки банкомат можно заставить снимать деньги практически без остановки. Злоумышленники ограничены только временным лимитом, который для каждой карты составляет пару минут. Бирдсли предположил, что хакерам будет проще построить большую сеть из модицифированных PoS-точек, тогда жертвы будут почти без остановки поставлять им данные об «активных» картах. 
«Можно зашимить 20-30 PoS-систем и получить постоянный поток [информации о картах]. У вас будет куча времени, чтобы заставить банкоматы выплевывать деньги».
Также Бирдсли рассказал, что шимминг уже используется хакерами в ЮАР, в тех зонах, где много туристов. Теперь, когда EMV-карты начинают распространяться в США, эксперт ожидает, что эти схемы мошенничества начнут использовать и там. Полное видео выступления экспертов можно найти на сайте Eweek (хотя качество оставляет желать лучшего). Взято с xakep.ru