В Бразилии научились клонировать карты карты с чипом

Есть два типа банковских карт – более старые, с магнитной полосой, и более новые и безопасные, с чипом. Новые технологии в банковской сфере внедряются не так уж быстро, а в некоторых странах – так и вовсе медленно, так что карты с чипом распространялись медленно. Например, в США до недавнего времени продолжали по-старинке пользоваться картами с магнитной полосой — и перешли на чиповые карты лишь пару лет назад.

Проблема карт с магнитной полосой состоит в том, что вся информация, необходимая для оплаты, хранится на них в открытом виде — поэтому ее очень легко украсть и записать на другую карту. В чипе все более надежно – там используется криптография.

С переходом на карты с чипом многим казалось, что такой криминальный бизнес, как клонирование кредиток, наконец-то скоро канет в Лету. Но не тут-то было: на конференции Security Analyst Summit 2018 наши исследователи выступили с докладом о бразильской группировке, которая научилась воровать данные о картах с чипом и вполне успешно их клонировать. В этом посте мы постараемся максимально кратко и просто изложить суть их исследования.

Взлом банкоматов и не только

Началась эта история с того, что, наши эксперты изучали зловредов, которые бразильская группировка Prilex использовала для взлома банкоматов. В процессе изучения они обнаружили модифицированную версию такого зловреда, предназначенную для работы на платежных терминалах — тех самых коробочках, в которые вы вставляете карту и на которых набираете ПИН-код при покупке в магазине.

Эта версия зловреда меняла библиотеки программного обеспечения терминалов так, что злоумышленники могли перехватывать данные, которые терминал получал от карты и отправлял в банк. То есть, условно, стоило вам единожды расплатиться картой в магазине с зараженным терминалом — и все, данные вашей карты уже есть у преступников.

Однако получить данные — это полдела. Для того чтобы украсть ваши деньги, требуется изготовить копию вашей карты, прописав в нее украденные данные. В случае с чиповыми картами это не так-то просто сделать — за что спасибо собственно чипу и многочисленным процедурам аутентификации, которые предусмотрены стандартом EMV.

Однако группировке Prilex удалось это реализовать: злоумышленники построили целую инфраструктуру, позволявшую их «клиентам» с легкостью создавать клонированные карты, хотя в теории это вроде как должно быть невозможно.

Для того чтобы понять, как у них это получилось, предлагаем сперва очень кратко познакомиться со стандартом EMV, то есть с тем, как устроены карты с чипом.

Как работают банковские карты с чипом

Чип на карте — это не просто микросхема флеш-памяти. На самом деле это небольшой компьютер, позволяющий запускать приложения. Когда вы вставляете карту с чипом в терминал, происходит вот что:

Первым делом начинается инициализация. На этом этапе терминал получает основные сведения о карте, такие как имя владельца, срок действия и так далее, а также список приложений, которые есть на карте.

Дальше идет опциональный этап аутентификации данных. На этом этапе при помощи криптографических алгоритмов терминал удостоверяется, что карта настоящая. Однако согласно стандарту этот этап не является обязательным — то есть его можно пропустить.

Следующий этап тоже не обязательный — это верификация владельца. То есть терминал должен убедиться, что человек, вставивший карту — это ее настоящий владелец. Для этого человек должен либо ввести PIN-код, либо расписаться на чеке — в зависимости от того, как карта запрограммирована.

Наконец, следующий этап — это собственно транзакция, то есть перевод денег.

Еще раз обращаем ваше внимание: обязательными являются только первый и четвертый этапы, а второй и третий — опциональные. Этим-то и воспользовались бразильские мошенники.

Карточка на все согласна

Итак, условия задачи: карточка умеет запускать приложения и при общении с терминалом первым делом сообщает ему информацию о себе и список доступных приложений. Количество этапов при осуществлении платежа определяется терминалом и картой.

Решение: бразильцы написали для карты Java-приложение, которое делает, по сути, две вещи. Во-первых, оно сообщает платежному терминалу, что проводить аутентификацию данных, то есть второй этап, не нужно. То есть никакой криптографии дальше не используется, что существенно упрощает задачу.

Остается этап верификации владельца при помощи PIN-кода. Но стандартом предусмотрены разные варианты подтверждения пина, и в том числе такой, когда правильность его ввода подтверждает… собственно, сама карта. А точнее, установленное на ней приложение.

Преступники написали такое приложение, которое на вопрос о том, правильно ли введен PIN, всегда отвечает терминалу «да-да, все отлично». То есть злоумышленник с клонированной картой может ввести на терминале четыре абсолютно случайные цифры — и эти цифры будут приняты как правильный PIN.

Мошенничество с картами как услуга

Инфраструктура, созданная группировкой Prilex, включает в себя описанное выше Java-приложение, клиентскую программу под названием «Daphne», при помощи которой можно перезаписывать смарт-карты, и собственно базу ворованных данных карт, лежащую у них на сервере.

«Клиентам» предлагается купить этакий «комплект начинающего злоумышленника» из Java-приложения, программы «Daphne» и какого-то количества данных о картах. Приобрести устройство для записи карт и чистые смарт-карты можно абсолютно легально за считаные десятки долларов. Не важно, кредитная карта или дебетовая — «Daphne» позволяет клонировать любые.

Заключение

Prilex действует только на территории Бразилии и соседних с ней стран, но подумать о безопасности своих финансов лучше не только бразильцам. Вот несколько советов, последовав которым, вы снизите риск пострадать от рук мошенников:

  • Следите за движением средств по счету — либо через уведомления в мобильном приложении, либо с помощью SMS. Как только видите какие-то подозрительные траты — тут же звоните в банк и срочно блокируйте карту.
  • По мере возможности пользуйтесь AndroidPay или ApplePay. Обе эти системы не передают данные вашей карты терминалу, поэтому их можно считать более безопасными, чем обычные платежи по карте, когда вы вставляете ее в терминал.
  • Заведите отдельную карту для покупок в Интернете. Шанс того, что ее данные куда-нибудь утекут, заметно больше, чем в случае тех карт, которыми вы расплачиваетесь только в офлайн-магазинах. Так что на этой карте не стоит хранить больше суммы.

Какую иностранную чипованную карту помимо Payoneer можно открыть дистанционно?

Банки, где можно открыть счета:
Латвия:
1. ABLV Bank AS — частный банк в Латвии с представительствами группы во многих странах СНГ.
Типы счетов. Мультивалютные личные и корпоративные счета.
Управление счетом. Программное обеспечение Internetbank AB.LV
Типы кредитных\дебетовых карт.MasterCardInternationalи VISAInternational.
Личное присутствие в банке при открытии счета. Требуется (в представительстве банка в городах СНГ).

2. Акционерное общество Baltikums Bank AS
Открытие счета для физических лиц — 200 USD
Открытие счета для юридических лиц — 350 USD
частный международный банк с представительствами в ключевых странах СНГ и на Кипре.
Типы счетов. Мультивалютные личные и корпоративные счета.
Управление счетом. Программное обеспечение Internetbank
Типы кредитных/дебетовых карт. MasterCard и Maestro

3. Baltic International Bank (BIB Bank) специализируется на обслуживании состоятельных клиентов и оказывает весь спектр услуг в области приват-банкинга.
Типы счетов. Личные и корпоративные счета.
Открытие счета для физических лиц — 200 USD
Открытие счета для юридических лиц — 350 USD
Есть требование к минимальному неснижаемому остатку в размере 100 000 EUR.
Управление счетом. Программное обеспечение Internetbank.
Типы кредитных/дебетовых карт. MasterCard, Maestro, Visa.
Личное присутствие в банке при открытии счета. Требуется (в представительстве).

4. Rietumu Banka
Открытие счета для физических лиц — 200 USD
Открытие счета для юридических лиц — 350 USD
Типы счетов. Мультивалютные личные и корпоративные счета.
Управление счетом. Программное обеспечение Rietumu BankWorld
Типы кредитных/дебетовых карт. MasterCard International и VISA International.

5. Trasta komercbanka бывший «Рига-Банк».
Типы счетов. Мультивалютные личные и корпоративные счета.
Управление счетом. Программное обеспечение TRAST.NET
Типы кредитных/дебетовых карт. MasterCard International, Maestro, Cirrus
Банковские продукты. Полный спектр банковских услуг: кредитование, чеки, аккредитив
Личное присутствие в банке при открытии счета. Требуется (в представительстве банка в городах СНГ)

Кипр:
1. Bank of Cyprus Представительства Банка Кипра открыты в США, Канаде, ЮАР, Румынии, России и на Украине.
Открытие счета — $350
Типы счетов. Личные и корпоративные счета.
Управление счетом. Программное обеспечение Internetbank
Типы кредитных\дебетовых карт.MasterCard и VISA
Личное присутствие в банке при открытии счета. Требуется (в представительстве банка)

2. FBME Bank был учрежден на Кипре. В 1986 году FBME Bank изменил страну регистрации на Каймановы острова, а затем на Танзанию

Типы счетов. Личные и корпоративные счета.
Управление счетом. Программное обеспечение Internetbank
Типы кредитных/дебетовых карт. MasterCard International, VISA International, Maestro
Личное присутствие в банке при открытии счета. Не требуется.

Прочие страны:
1. EURAM BANK (АВСТРИЯ)
полностью независимый частный банк.
Типы счетов. Личные и корпоративные счета.
Управление счетом. Программное обеспечение Internetbank
Типы кредитных\дебетовых карт.MasterCard International и VISA International.
Личное присутствие в банке при открытии счета. По договоренности с банком

2. Delta West credit Bank (Коморские острова)
Оффшорные счета без личного присутствия
Круглосуточные онлайн банковские операции
Платежи и банковские переводы
Онлайн поддержка на нескольких языках.

3.Hermes Bank (Сент Люсия)
Тарифы на обслуживание: стоимость денежного перевода составляет 5 -7 USD
Анонимные платежные карты.
Типы счетов. Личные и корпоративные счета.
Управление счетом. Программное обеспечение Netbank.
Типы кредитных/дебетовых карт. Maestro, Master Card.
Личное присутствие в банке при открытии счета. Не требуется.

4. Versobank AS Эстония.
Контрольный пакет акций банка принадлежит украинской агропромышленной компании UKRSELHOSPROM PCF LLC, которая входит в состав корпорации «Алеф».
Открытие счета для физических лиц — 200 USD
Открытие счета для юридических лиц — 350 USD
Типы счетов. Мультивалютные личные и корпоративные счета.
Управление счетом. Программное обеспечение Internetbank
Типы кредитных/дебетовых карт. Visa.
Банковские продукты. Полный спектр банковских услуг.
Личное присутствие в банке при открытии счета. Требуется (в представительстве банка в городах СНГ)

Хватит для начала? Список готовил для себя.
Внимание — обязательно смотрите актуальные тарифы, что бы потом не разочароваться в жизни.

Как мошенники копируют банковские карты

карты

После истории с кражей денег с моей карты Сбербанка путем клонирования карты, я решил вникнуть, как же это происходит.
И, честно говоря, был шокирован двумя вещами: что создать копию карты легко может даже школьник и что США просто райское место для мошенников, клонирующих банковские карты.
То, что вы прочтете в этом посте, многих их вас очень удивит.

Предупреждение: данный пост написан ИСКЛЮЧИТЕЛЬНО в ознакомительных целях и для предупреждения читательской аудитории о потенциальных опасностях при пользовании банковскими картами.
Копирования своих или чужих банковских карт является нарушением законом РФ и влечет за собой уголовную ответственность.

Не пытайтесь использовать информацию из этого поста для осуществления неправомерных действий по копированию и использованию банковских карт!

Вы знаете, что банковские карты — это перезаписываемый носитель малой ёмкости (около 2 кб)? Фактически, дискета. А скорее, аудиокассета! Если у вас есть старый кассетный магнитофон, включите его и проведите магнитной полосой кредитной карты по головке. Вы услышите звук: магнитофон считал номер счёта, имя владельца карты и дополнительную служебную информацию. Нет, конечно современные банковские карты немного сложнее, чем обычная магнитофонная лента, однако принцип действия идентичен. И как это часто бывает со многими техническими решениями, устаревшими, но принятыми и используемыми повсеместно… кредитные карты фактически не имеют какой-либо серьёзной защиты от копирования!
Их можно просто переписать, как в далекие 80-е мы переписывали Metallica или Ласковый Май с кассеты соседа по парте.
И именно этим занимаются множество мошенников по всему миру, считывая информацию с наших карт скиммерами, записывая затем карты-клоны и продавая их на гигантском черном рынке. К примеру, в Южной Америке на поток поставлено воровство данных с карт (в Бразилии уже даже не пытаются бороться с установкой скиммеров на банкоматы), а в США — легализация карт-клонов.

Как устроена банковская карта

В зависимости от банка и типа карты на ней может быть установлено 3 элемента: магнитная полоса на обратной строне карты, EMV-чип и RFID (чип и антенна для бесконтактного считывания карты, так называемый Pay Pass). Самая современная карта имеет все три элемента. Самая незащищенная — та, у которой есть только магнитная полоса. А теперь, внимание! Магнитная полоса есть на ВСЕХ картах. То есть все карты можно скопировать. Дальше вопрос в том, можно ли скопированную карту использовать. С этим сложнее, ведь чип подделывать до сих пор так и не научились и в любом банке вам скажут, что ваша чипованная карта защищена и воспользоваться ее клоном не смогут. Это НЕПРАВДА! Мою чипованную карту склонировали и ею воспользовались. Как?
И в этом месте на арену выходят США! В этой самой богатой стране в мире до сих пор банки ПРАКТИЧЕСКИ не выпускают карты с чипами, пользуясь картами с полосой, и даже вашу чипованную карту в магазине будут по-старинке прокатывать на полосу! При том, что практически все терминалы в точках продажи без проблем могут работать с чипованными картами.
То есть, для использования вашей суперзащищенной чипованной карты в США мошенникам даже не нужно пытаться копировать ваш чип! Они без проблем смогут прокатать магнитную полосу карты где-нибудь на кассе самообслуживания. Именно поэтому в начале поста я назвал США раем для мошенников подобного плана.
Почему это происходит? Все просто! Ничего личного, просто бизнес. Все карты в США застрахованы от кражи средств, за страховку платит клиент, так что это просто гигантский рынок для страховых компаний. Так зачем банкам напрягаться и тратить лишние деньги на более дорогие чипованные карты?

карты

Теперь давайте подробнее об элементах защиты карты.
1. Магнитная полоса на обратной стороне карты. на самом деле магнитных полосы целых три, так называемые Track 1, 2 и 3.
Вот как полоса выглядит под микроскопом.

карты

Теоретически, вооружившись ножницами, скотчем, картоном и куском магнитофонной плёнки, можно сделать собственную магнитную карту! Хотя проще найти уже готовую, чистую или пустить в дело старую кредитку с истёкшим сроком действия. Мошенники для массовой записи клонов используют даже различные подарочные карточки VISA и, так называемый «белый пластик» без каких либо принтов. Главное — пригодный для записи магнитный слой.
В банковских картах, как правило, используется Track 1 и 2. В прошлом на треке номер 3 хранился в зашифрованном виде пин-код — для возможности работы с банкоматами в офлайн-режиме. Но с развитием систем коммуникаций и откровенной уязвимости такого подхода последние банкоматы, которые работали с офлайн-пином на Track 3, ушли в небытие в середине 90-х. В настоящее время Track 3 в кредитных картах не используется. Поэтому пин-код мошенникам нужно добыть иным способом и для этого они в паре со скиммером используют либо накладку на клавиатуру банкомата, либо вешают маленькую видеокамеру над банкоматом. Если пин-код украсть не удастся, стоимость склонированного пластика будет невысокой, т.к. им можно воспользоваться только для покупки товаров, а это очень высокий риск. А вот если удалось и считать данные карты, и пин-код, стоимость такой карты возрастает в разы, ведь с нее можно снять наличные в любом банкомате. И, кстати, деньги по такой мошеннической операции (если был введен пин-код) банк вам не вернет по правилам VISA.
Вот как выглядит считывающая головка платежного терминала. На фото хорошо видны три элемента для считывания треков.

карты

2. EMV (Europay, MasterCard, Visa Chip) чип — похожий на сим-карту и имеющий схожие электронные характеристики. Данный чип отвечает за проверку транзакции по карте на EMV совместимых банкоматах и создан международным концерном кредитных компаний в ответ на излишнюю лёгкость в копировании кредиток с магнитной лентой.

карты

Одна из причин того, что чипы не подделывают это то, что недостаточно просто скопировать содержимое чипа на другую карту в первую очередь потому, что никакой информации на чипе зачастую просто нет (иногда на чипе храниться копия Track 2). Проверка идёт на аппаратном уровне, в интернете встречаются упоминания, что банкомат генерирует некий номер, на который чип должен дать верный ответ. Однако во многих банках проверка идёт просто на наличие EMV-чипа от данного банка!!!
Другими словами, если записать магнитную полоску на карту без EMV-чипа или карту с EMV-чипом другого банка, то банкомат такую карту не примет, а вот если закатать дорожку на истёкшую карту того же банка с правильным EMV-чипом, то снять деньги можно.
В любом случае EMV защищает только возможность снять деньги с банкоматов причём только тех, что имеют такую функцию. В абсолютном большинстве платёжных терминалов и банкоматов по всему миру по-прежнему считывается только магнитная карта без участия EMV. Это особенно касается стран третьего мира и, как я уже сказал выше, США!

Как же копируют карты с магнитной полоской?

Существует достаточно большой ассортимент аппаратного обеспечения для работы с магнитными картами. Лучший выбор — это MSR 206 совместимые устройства: они наиболее распространены и к ним существует больше всего программного обеспечения. И вообще они есть в любом отеле, где в качестве ключа используется магнитная карта. Покупаются они через интернет-магазин типа Ebay.
Устройство работает через интерфейс последовательного com-порта. Стоимость колеблется от 100 до 300$, отличаются устройства между собой комплектацией и дизайном, но принципиальной разницы между ними нет.

карты

Через TOR можно найти немало утилит, с помощью которых происходит считывание и копирование данных с магнитных полос.
Вот так выглядит интерфейс одной из них, Jerm

карты

А вот так диалоговое окно для непосредственной работы с картой

карты

Read — считать карту. Индикатор на MSR206 загорается жёлтым цветом, карта считывается, ее содержимое появляется в окнах ASCII и HEX, а также в полях Track 1, 2, 3. Если нужно сохранить образ полученной карты, команда «File\Save as…». Если же сразу нужно сделать дубликат, просто Write. Осталось провести чистой картой по MSR206 и все, карта скопирована!
Erase Track(s) — если нужно использовать для перезаписи карту, на которой уже есть какая-то информация (например, банковская карта с истёкшим сроком действия), то перед повторным использованием карту нужно очистить. Для этого выделяются все три трека и нажимается кнопка Erase. Осталось провести картой по устройству.
Есть даже пакетный режим, Batch mode , если нужно записать сразу множество магнитных карт.

Как получают данные для копирования карты?

Как я уже сказал выше, мошенникам достаточно считать данные с магнитной полоски, а чип их вообще не интересует.
Как они это делают, знают все. С помощью скиммеров, которые накладывают на банкоматы.

карты

Скиммером может быть пластиковая накладка, прикрепляемая к кардридеру, миниатюрная видеокамера в держателе для брошюр рядом с банкоматом. Также распространены специальные накладки на клавиатуру, считывающие порядок набора ПИН-кода. К банкоматам скиммеры крепятся с помощью обычного двустороннего скотча или застежки-«липучки». Например, если клавиатура была вогнутой, то специальная накладка сделает панель более плоской. Также скимминговое устройство может изменить сами клавиши: они будут либо утоплены в панель клавиатуры, либо, наоборот, слишком сильно выпирать. Производители банкоматов в последние годы стали устанавливать на банкоматы специальные устройства, позволяющие распознавать скиммеры.
Обнаружить невооруженным глазом скиммер на банкомате довольно сложно, поэтому рекомендуется пользоваться только теми банкоматами, которые расположены в отделениях банков, крупных торговых центрах, на охраняемой территории.
Да, скиммер способен украсть информацию только с магнитной полосы, а не с чипа. Но мошенникам, которые затем легализуют карты в США, этого достаточно.
Существуют также портативные скиммеры, позволяющие делать копию карты, когда она оказалась в руках злоумышленника (например, если он по совместительству ещё и официант в ресторане, где клиенты часто расплачиваются пластиковыми картами).
Из беседы с человеком, глубоко изучавшим эту тему, я узнал, что большинство данных карт в наше время «воруют» в Южной Америке. Если в России и других странах службы безопасности банков постоянно борятся со скиммерами, то в Бразилии и Колумбии этого просто не делается, что дает мошенникам широкие возможности.
Далее мошенники записывают полученные данные на, так называемый, белый пластик и оптом продают карты дельцам. Карты переправляются в США и с них либо снимают деньги, если удалось снять пин-код, либо по дешевке продают на черном рынке.
Ну а там уже кто в интернете что-то пытается купить, кто в супермаркете, как случилось с моей картой…

карты

P.S. Да, а для защиты от скиммеров многие банкоматы устанавливают специальные прозрачные антискиммеры, вы их все видели. Вот только за границей они есть далеко не везде и именно там вы подвергаетесь наибольшему риску, что вашу карту могут скопировать.

Источник

Смотрите также: Карты, которых нет на уроках географии


Карты с чипом — Современные банковские цифровые технологии

Карточки с чипом или смарт-карты – пластиковые карточки стандартного размера со встроенным микропроцессором (чипом) для хранения информации.

Не смотря на большую стоимость производства чиповых карт, они обладают рядом существенных преимуществ перед картами с магнитной полосой:

  • Безопасность. Чип представляет собой почти полноценный компьютер, в котором данные защищены криптографическими алгоритмами, и информацию невозможно скопировать при непосредственном подключении к чипу, поэтому практически невозможно сделать дубликат
  • Транзакция или обмен информацией с банком-эквайером (банк, который организует проводку расчётов по банковским картам). Каждая транзакция подтверждается новым специально сформированным кодом, поэтому перехват этого кода не имеет смысла
  • Более долгий срок службы. Карта с чипом может использоваться более 6 лет, что значительно превышает срок службы магнитной полосы – 2-3 года
  • Транзакции в режиме off-line. Операции по смарт-картам в отличие от магнитных не требуют подтверждения в режиме on-line и могут передаваться в банк-эквайер или в процессинговый центр в отложенном режиме
  • Широкий спектр дополнительных приложений. Возможен выпуск чипов, объем которых позволяет встроить дополнительные приложения финансовые и нефинансовые.

В качестве недостатка чиповых карт можно выделить их «медлительность» при работе с банкоматами и pos-терминалами, а также необходимость вводить пин-код после каждой транзакции, как средство дополнительной защиты.

По способу обмена со считывающими устройствами смарт-карты можно разделить на

В некоторых случаях используются карты, которые включают в себя контактные и бесконтактные интерфейсы, что значительно расширяет спектр работы данных карт.

Поскольку существует недостаток инфраструктуры по приёму чисто микропроцессорного пластика, т.е. не все терминалы и банкоматы позволяют работать со смарт-картой, наиболее часто встречается банковская гибридная карта.

Гибридная карта — карта, которая содержит одновременно чип и магнитную полосу.

Обнаружен скиммер (шиммер), копирующий чипованные карты — «Хакер»

Специалисты по расследованию преступлений с банковскими картами обнаружили в Мексике необычный скиммер, который вставляется в картоприемник ATM и может считывать данные напрямую с микросхемы на карте, пишет Брайан Кребс.

Устройство на фотографии известно как «шиммер», от слова “shim” («тонкая прокладка»). Оно действительно работает как прокладка, размещаясь между картой и считывающим устройством банкомата. Считывание и сохранение данных осуществляется одновременно с тем, как карта считывается банкоматом.

Считывающий компонент шиммера состоит из восьми позолоченных прямоугольных контактов. Электронные микросхемы для хранения собранных данных видны на фотографии в верхней части устройства.

По информации компании 3VR, шиммер нашли в банкомате Diebold Opteva 520. Прокладка вырезана точно под размер считывателя карт.

Эта модель банкомата предусматривает, что пользователь вставляет карту на короткий промежуток времени, а потом быстро изымает ее. Шиммер вставляется в гнездо с внешней стороны. Специалисты не сообщили, обнаружено ли на банкомате дополнительное оборудование для записи пинкодов, например, скрытая камера или накладка на клавиатуру.

Карты с чипом считаются более безопасными, чем карты только с магнитной полосой. Хотя информация с полосы дублируется на чипе, но там есть дополнительные уровни защиты, в том числе код верификации iCVV (integrated circuit card verification value), который отличается от обычного CVV.

Некоторые банкоматы могут принимать карты с обычной магнитной полосой, клонированные с чипованных карт, не проверяя CVV. Вероятно, мексиканские кардеры нашли такие банкоматы, поэтому и снимают копии с чипов.

Паспорт с чипом. Как делают электронные документы и почему они безопаснее

В России в 2020 году планируется внедрение электронного удостоверения личности. В правительстве РФ уже представили прототип будущего документа. Эксперты рассказали, как может выглядеть новый ID, как будет защищена информация и какие перспективы это открывает.

На что будет похож электронный паспорт?

Судя по данным, представленным правительством РФ, новый документ планируется издавать в формате ID-1 — это пластиковая карточка размером с банковскую. На ее поверхность будет нанесена основная информация о владельце и данные, предназначенные для машинного считывания.

Принципы изготовления карточки схожи с теми, которые используются для создания пластиковой страницы в биометрических загранпаспортах, говорит эксперт концерна «Автоматика» госкорпорации «Ростех» Дмитрий Буря. Напомним, на ней размещена фотография, основная информация о человеке и — в самом низу — машиночитаемая зона, которая позволяет получить доступ к биометрическим данным, записанным на чипе.

Если сравнивать с «заграном», параметры ID-1 меньше, поэтому размеры фото и шрифта в новом паспорте, скорее всего, будут уменьшены

На обратной стороне карточки могут быть размещены элементы защиты и контактная площадка чипа.

Использование электронного паспорта не должно вызвать сложностей: в России уже действует несколько видов документов с чипами. Помимо загранпаспортов это электронные полисы ОМС, карты для систем контроля удаленного доступа (например, смарт-карты для доступа к банковскому счету), персональные электронные карты военнослужащего, муниципальные карты (например, карта москвича). Но чип для электронного удостоверения личности будет более совершенным — в нем будет больше памяти, выше скорость работы, новые возможности. 

На показанном в СМИ образце нового паспорта нет информации о прописке и семейном положении. Этого не будет?

Предполагается, что в новый паспорт будут включены все данные, имеющиеся в бумажном. Просто в графической зоне останется основная информация, а все остальное будет записано на чип. Это позволит не менять паспорт каждый раз при смене места жительства или рождении детей. В документ также планируется добавить дополнительные признаки идентификации: биометрическое изображение лица и отпечатки пальцев рук, отмечает Дмитрий Буря. 

В Минкомсвязи говорят, что новый паспорт заменит собой целый ряд документов: туда могут быть записаны СНИЛС, ИНН, водительское удостоверение и другое. Это освободит от необходимости носить с собой пачку бумаг при оформлении сделок или устройстве на работу.

Еще один приятный бонус — электронная подпись, которая будет выдаваться каждому гражданину. Благодаря ее применению он сможет совершать операции полностью в электронном виде

Кроме того, электронный паспорт станет ключом доступа к цифровому профилю и порталу госуслуг.

Однако, отмечает Дмитрий Буря, для интеграции электронного паспорта с водительским удостоверением потребуются существенные изменения в нормативно-правовой базе. В частности, нужно урегулировать вопрос о том, как на бланке электронного паспорта будут отражаться данные о получении прав и изъятии водительского удостоверения. Сложности могут возникнуть и с добавлением электронной подписи, так как по существующим требованиям срок действия сертификата ключа значительно меньше срока действия электронного паспорта.

При этом возможности нового документа могут оказаться чуть ли не безграничными. Эксперт в области информационной безопасности Виталий Вехов не исключает и вариант, когда к «базовому» набору данных, записываемых на электронный паспорт, человек по своему желанию сможет добавлять и другие. Например, привязать банковскую карту или документы других коммерческих структур, которые заключат договоры с соответствующими ведомствами.

Где будут делать чипы?

По информации Минкомсвязи, в соответствии с нормативными актами чип для электронного паспорта должен быть спроектирован, разработан и изготовлен на территории России юридическими лицами, являющимися налоговыми резидентами РФ, а также соответствовать утвержденным правительством требованиям к интегральной микросхеме первого уровня. Этим параметрам соответствует ПАО «Микрон», которое давно выпускает сверхзащищенные чипы — носители персональных идентификационных данных российских граждан. 

Директор по стратегическому развитию компании Карина Абагян рассказала, что чип представляет собой аналог микрокомпьютера, у которого есть собственная операционная система, память, каналы взаимодействия с внешним миром. Памяти чипа достаточно для записи биометрических данных нескольких типов. Информацию с чипа можно будет считать через контактную площадку на поверхности пластиковой карточки, а также бесконтактно, через радиоинтерфейс. 

Чип приспособлен для российских климатических условий: работоспособность он сохраняет при температуре от минус 25 до плюс 105 градусов Цельсия, а предельными температурами для него являются от минус 45 до плюс 125 градусов Цельсия

Карина Абагян

Она поясняет, что его можно будет носить с собой при сильном морозе, и он будет работать при возвращении в помещение.

Эксперт добавляет, что многолетний опыт производства таких чипов и практика применения подтверждает их высокую защищенность. «Если бы там были серьезные дыры и уязвимости, за это время они бы проявились», — поясняет она.

Как будет защищен сам документ? Сложно ли будет его подделать? А взломать?

Защита документа включает в себя безопасность карты и безопасность чипа. Как сообщили в Минкомсвязи, для защиты чипа используются голограммы, отличительные знаки, особый способ нанесения данных. «Заменить или переклеить фотографию невозможно — она находится под несколькими слоями пластика», — уточнили в ведомстве. 

Для защиты информации на чипе используются российские алгоритмы криптографической защиты, а данные на микросхеме подписаны электронной подписью РФ. «Это гарантирует защиту данных от подделки и их несанкционированного изменения», — сообщили в Минкомсвязи. Помимо этого, в микросхеме реализованы криптографические механизмы защиты данных от клонирования. А особо важная информация, например отпечатки пальцев и электронная подпись, будет закрыта отдельным протоколом, и получить к ней доступ смогут только доверенные терминалы. Например, сейчас с биометрических загранпаспортов прочитать отпечатки пальцев при необходимости может только пограничник.

Карина Абагян уточняет, что в чипе реализованы все общепринятые меры по защите информации — как программные, так и аппаратные: потоковое шифрование и шифрование тока потребления, защита от физического доступа к блокам памяти, проверка целостности данных и другие. По ее словам, чип позволяет разделить записанную информацию на доступную для считывания всеми ведомствами и ту, для доступа к которой необходимы особые права.

Перехватить передаваемую информацию сложно, но даже если это произойдет, для ее декодирования потребуется много времени и вычислительные ресурсы. Да и создание самого чипа — достаточно дорогое удовольствие. Все это делает взлом экономически невыгодным

Карина Абагян

Эксперт Виталий Вехов подтверждает, что разделение прав доступа к разной информации позволяет повысить защиту данных. Более того, считает он, возможен и такой вариант: у каждого ведомства, которое вносит данные в паспорт (МВД, Таможенная служба, загс и т.д.), может быть свое программное приложение, защищенное отдельной криптографической технологией. Доступ для внесения изменений в таком приложении будет иметь только ответственное ведомство. Подделка паспорта на стадии изготовления копий, по его мнению, исключена, так как оборудование поставляется ФСБ России под жестким контролем и ему сразу присваивается статус предмета, составляющего гостайну.

А если я потеряю паспорт? Может ли кто-то им воспользоваться?

Потерянный электронный паспорт вносится в реестр скомпрометированных по заявлению владельца, говорит Дмитрий Буря. После этого воспользоваться им в автоматизированных системах будет невозможно. Как уточняет Виталий Вехов, это примерно как заблокировать банковскую карту.

Даже если человек не успел заблокировать потерянный электронный паспорт, ничего страшного не случится. Ведь по этому документу возможна не только визуальная идентификация по фотографии, но и верификация по биометрическим признакам. Дмитрий Буря считает, что при юридически значимых действиях (например, при имущественных сделках), целесообразно использовать сразу несколько идентифицирующих признаков, в том числе отпечатки пальцев. В этом случае добавляется новое звено идентификации, что уберегает от мошенничества.

Возможно, вы слышали резонансную историю об отчуждении квартиры с использованием электронной подписи. При наличии возможности идентификации гражданина по биометрическим признакам в момент совершения указанной сделки подобного инцидента можно было бы избежать

Таким образом, если при использовании чужого бумажного паспорта злоумышленник может гипотетически «подогнать» внешность под фотографию, то выдать свои отпечатки пальцев за чужие он не сможет. А если попытается, то это сразу же обнаружится.

Карина Абагян подчеркивает, что биометрия должна быть дополнительным, а не основным способом идентификации. «Если взломали чип, вы идете в МФЦ и просто меняете паспорт на новый. А если взломали «лицо» или «голос», и система заблокировала эти данные, вы ими воспользоваться уже не можете и выпадаете из взаимодействия с госуслугами», — поясняет она.

Российский электронный паспорт похож на европейские и американские ID-карты?

При разработке российского электронного паспорта учитывался мировой опыт, сообщили в Минкомсвязи. В европейских странах внедрение «национальных ID-карт» началось с 2000-х годов, сейчас подобные документы есть практически во всех странах СНГ. «Технология опробована и подтвердила свою эффективность», — отметили в министерстве. Российский документ будет полностью соответствовать международному стандарту. Это касается и срока действия: стандарты в отношении биометрических паспортов, разработанные международной организацией ИКАО, регламентируют замену паспортов каждые десять лет. «Это связано с изменением внешности человека, которая может быть использована для создания различных сервисов автоматической верификации человека по лицу», — уточнили в Минкомсвязи.

В то же время российский паспорт в чем-то будет отличаться от европейского и американского. Как отмечает Карина Абагян, в России применяются собственные стандарты криптозащиты, а требования к чипу определены исходя не из мировых требований (как, например, для загранпаспорта, который должен читаться во всех аэропортах), а из тех, которые разработаны российскими ведомствами. 

Эксперт Виталий Вехов добавляет, что так как Россия анализирует опыт стран, которые первыми вводили электронные паспорта, «защита у нас будет на несколько порядков более совершенная». Кроме того, в США, например, ID-карта прежде всего привязана к пенсионному обеспечению и страховке. А российский документ будет иметь более широкий функционал.

Ася Сафиуллина

Банковская карта с чипом | В мире кредиток

Под этим термином подразумевается платежная банковская карта, оснащенная помимо стандартной магнитной полосы еще и микропроцессором (или EMV-чипом), который используется как способ дополнительной защиты карточки, а также предоставляет держателю карты доступ к расширенному списку разнообразных услуг.

Появление на кредитках компьютерного чипа стало следствием борьбы с карточными мошенниками, которые научились воровать данные с магнитной полосы, а затем клонировать карты. Чип практически полностью исключает такую опасность, поскольку его невозможно украсть или скопировать из различных взломанных баз данных. Это своеобразный замок, закрывающий доступ к несанкционированному использованию карты посторонними людьми.

Карта со смарт-чипом предоставляет ее владельцу дополнительные возможности

Карта со смарт-чипом предоставляет ее владельцу дополнительные возможности

Карта с чипом требует каждый раз введения ПИН-кода во время любой операции оплаты (так называемая технология “Chip and PIN”). В некоторых случаях магазины могут отказаться принимать устаревшие карты без микропроцессорной защиты, а карту с чипом гарантированно примут к оплате в любой торговой точке по всему миру. Ведь в случае возникновения проблем все платежные системы (например, VISA или Mastercard) перекладывают ответственность за возможные потери от мошенничества на те банки, которые до сих пор не освоили у себя выпуск чипованных карт.

Очень важно, что помимо дополнительных гарантий безопасности ваших денег, чип обладает и другими достоинствами. На него можно записать гораздо больше информации, например, доступ к дополнительным услугам банка или сторонних организаций-партнеров (вплоть до электронной идентификации личности). Чаще всего чип используется в кобрендинговых программах лояльности, когда на него записывают условия бонусной программы и текущий статус участника.

Не стоит забывать, что чип-карта более долговечна и надежна. В отличие от стандартной магнитной полосы чип более устойчив к механическим повреждениям и разного рода электромагнитным излучениям (его, например, нельзя размагнитить).

Подробные обзоры лучших банковских карт:



Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *