Безопасность банкоматов

Банкоматы (ATM) являются целями для мошенничества, ограблений и других нарушений безопасности. Раньше основной целью банкоматов была выдача наличных в виде банкнот и дебетование соответствующего банковского счета. Однако банкоматы становятся все более сложными и теперь выполняют множество функций, становясь, таким образом, приоритетной целью для грабителей и хакеров.

Введение

Современные банкоматы оснащены высоконадежными мерами защиты. Они работают в сложных системах и сетях для выполнения транзакций. Данные, обрабатываемые банкоматами, обычно зашифрованы, но хакеры могут использовать скрытные хакерские устройства для взлома счетов и снятия остатка на счете. В качестве альтернативы неквалифицированные грабители угрожают клиентам банка оружием, чтобы ограбить их снятые деньги или счет.

Методы ограбления банкоматов

Вандалы банкоматов могут либо физически взломать банкомат, чтобы получить наличные, либо использовать методы скимминга кредитных карт , чтобы получить контроль над счетом кредитной карты пользователя. Мошенничество с кредитными картами может быть совершено путем вставки скрытых скимминговых устройств в клавиатуру или считыватель кредитных карт. Альтернативный способ мошенничества с кредитными картами — это прямая идентификация PIN-кода с помощью таких устройств, как камеры, скрытые около клавиатуры.

Меры безопасности банкоматов

Схемы проверки PIN-кода для локальных транзакций

Проверка PIN-кода в режиме онлайн

Проверка онлайн-ПИН-кода происходит, если рассматриваемый терминал подключен к центральной базе данных. ПИН-код, предоставленный клиентом, всегда сравнивается с зарегистрированным контрольным ПИН-кодом в финансовых учреждениях. Однако один из недостатков заключается в том, что любая неисправность сети делает банкомат непригодным для использования до тех пор, пока она не будет устранена.

Проверка PIN-кода в режиме офлайн

При проверке PIN-кода в автономном режиме банкомат не подключен к центральной базе данных. Условием проверки PIN-кода в автономном режиме является то, что банкомат должен иметь возможность сравнивать введенный клиентом PIN-код с PIN-кодом референса. Терминал должен иметь возможность выполнять криптографические операции и иметь в своем распоряжении необходимые ключи шифрования .

Схема офлайн-проверки крайне медленная и неэффективная. Оффлайн-проверка PIN-кода теперь устарела, поскольку банкоматы подключены к центральному серверу через защищенные сети.

Проверка PIN-кода для межбанковских транзакций

Существует три процедуры PIN для операции высокозащищенной транзакции обмена. Предоставленный PIN шифруется на входном терминале, на этом этапе используется секретный криптографический ключ. В дополнение к другим элементам транзакции, зашифрованный PIN передается в систему приобретателя . Затем зашифрованный PIN направляется из системы приобретателя в аппаратный модуль безопасности . Внутри него PIN расшифровывается. С помощью криптографического ключа, используемого для обмена, расшифрованный ключ немедленно повторно шифруется и направляется в систему эмитента по обычным каналам связи. Наконец, маршрутизированный PIN расшифровывается в модуле безопасности эмитента, а затем проверяется на основе методов локальной проверки PIN в режиме онлайн.

Банкоматы общего пользования

Существуют различные методы транзакций, используемые в общих банкоматах в отношении шифрования PIN-кода, и аутентификация сообщений среди них - это так называемое "шифрование зоны". В этом методе доверенный орган назначается для работы от имени группы банков, чтобы они могли обмениваться сообщениями для одобрения платежей через банкомат. ^[1]

Аппаратный модуль безопасности

Для успешной связи между банками и банкоматами включение криптографического модуля, обычно называемого модулем безопасности, является критически важным компонентом для поддержания надлежащих соединений между банками и машинами. Модуль безопасности разработан так, чтобы быть устойчивым к взлому . ^[2] Модуль безопасности выполняет множество функций, среди которых проверка PIN-кода, перевод PIN-кода при обмене, управление ключами и аутентификация сообщений. Использование PIN-кода при обмене вызывает опасения в плане безопасности, поскольку PIN-код может быть переведен модулем безопасности в формат, используемый для обмена. Более того, модуль безопасности должен генерировать, защищать и поддерживать все ключи, связанные с сетью пользователя. ^[3]

Аутентификация и целостность данных

Процесс персональной проверки начинается с предоставления пользователем персональной информации для проверки. Эта информация включает в себя PIN-код и предоставленную клиентом информацию, которая записывается на банковский счет. В случаях, когда на банковской карте хранится криптографический ключ, он называется персональным ключом (PK). Процессы персональной идентификации могут выполняться с помощью параметра аутентификации (AP). Он может работать двумя способами. Первый вариант — AP может быть неизменным во времени. Второй вариант — AP может быть неизменным во времени. Есть случай, когда есть IP, который основан как на информации, изменяющейся во времени, так и на сообщении запроса транзакции. В таком случае, когда AP может использоваться в качестве кода аутентификации сообщения (MAC), использование аутентификации сообщения делается прибегнуть к поиску устаревших или фиктивных сообщений, которые могут быть направлены как в коммуникационный канал, так и для обнаружения измененных сообщений, которые являются мошенническими и которые могут проходить через незащищенные системы связи. В таких случаях AP служит двум целям.

Безопасность

Нарушения безопасности в системах электронных переводов средств могут быть сделаны без разграничения их компонентов. Системы электронных переводов средств имеют три компонента: каналы связи, компьютеры и терминалы (банкоматы). Во-первых, каналы связи подвержены атакам. Данные могут быть раскрыты пассивными средствами или прямыми средствами, когда вставляется устройство для извлечения данных. Вторым компонентом является компьютерная безопасность. Существуют различные методы, которые могут быть использованы для получения доступа к компьютеру, такие как доступ к нему через удаленный терминал или другие периферийные устройства, такие как считыватель карт. Хакер получил несанкционированный доступ к системе, поэтому программы или данные могут быть изменены хакером. Безопасность терминала является важным компонентом в случаях, когда ключи шифрования находятся в терминалах. При отсутствии физической безопасности злоумышленник может попытаться найти ключ, который подменяет его значение. ^[4]

Смотрите также

Ассоциация индустрии АТМ (ATMIA)

Ссылки

^ DW Davies & WL Price (1984). Безопасность компьютерных сетей: введение в безопасность данных при телеобработке и электронном переводе средств . ISBN 0-471-90063-X.
^ Hole, Kjell J. (2007). Банкоматы (PDF) . Исследовательская группа NoWires, кафедра информатики, Университет Бергена . Архивировано из оригинала (PDF) 2008-11-19 . Получено 2009-03-16 .
^ "Что вызывает срабатывание сигнализации банкомата?". ATMAlarms.com . Сигнализация банкомата.
^ Росс Андерсон (1992). Перспективы — Банкоматы. Кембриджский университет . Архивировано из оригинала 27.03.2008 . Получено 16.03.2008 .{{cite book}}: CS1 maint: отсутствует местоположение издателя ( ссылка )

Внешние ссылки

https://www.lightbluetouchpaper.org/ - Исследования в области безопасности, Компьютерная лаборатория Кембриджского университета

[1] DW Davies & WL Price (1984). Безопасность компьютерных сетей: введение в безопасность данных при телеобработке и электронном переводе средств . ISBN 0-471-90063-X.

[2] Hole, Kjell J. (2007). Банкоматы (PDF) . Исследовательская группа NoWires, кафедра информатики, Университет Бергена . Архивировано из оригинала (PDF) 2008-11-19 . Получено 2009-03-16 .

[What_Triggers_an_ATM_Alarm?-3] "Что вызывает срабатывание сигнализации банкомата?". ATMAlarms.com . Сигнализация банкомата.

[4] Росс Андерсон (1992). Перспективы — Банкоматы. Кембриджский университет . Архивировано из оригинала 27.03.2008 . Получено 16.03.2008 .{{cite book}}: CS1 maint: отсутствует местоположение издателя ( ссылка )