Индустрия "кардерства" вышла на новый уровень: официально подтверждены случаи кражи PIN - кодов из "святая святых" любой платежной системы - модулей аппаратного шифрования HSM (Hardware Security Module - защищенный аппаратный модуль шифрования/дешифрования).

Раньше пользователи платежных карт беспокоились насчет фишинга, скиммеров (похищение PIN - кода с помощью установки на банкомат камер и другого нелегального оборудования), скаммеров (мошенничество с использованием предложений обогатиться, вроде писем из Нигерии) и прочих видов обмана. Теперь же проблемы коснулись тех частей банковской системы, на которые простой пользователь повлиять не в силах. Некоторое время назад эксперты по банковской безопасности предупреждали производителей, что теоретически существует способ перехвата PIN - кодов через модули HSM, но первый случай фактического использования этой потенциальной уязвимости обнаружен лишь в 2009 г.

Выяснилось, что при наличии сообщника внутри банка преступники могут записывать PIN - коды в зашифрованном и открытом виде, потому что администраторы банков по разным причинам изменяют стандартную конфигурацию HSM - модулей. Обычно это происходит из - за неспособности или нежелания администратора решить проблемы совместимости с унаследованными приложениями или с "непослушными" банкоматами за счет использования стандартных процедур и инструментов - тогда администратор просто отключает некоторые стандартные механизмы, и на каком - то этапе обработки PIN - коды оказываются незашифрованными, причем система контроля просто не замечает этого, так как далее они передаются снова в закодированном виде.

Так или иначе, потенциальное похищение PIN - кодов без участия владельца карты создает серьезную угрозу безопасности и подрывает доверие ко всей банковской системе. По мере того как вводимые коды на разных этапах обработки проходят множество ступеней шифрования и декодирования, у злоумышленников появилась реальная возможность установить на одном из HSM - модулей собственные программы, которые перехватывают PIN - коды в открытом виде, либо в зашифрованном, но доступном для декодирования.

По заявлениям производителей HSM - модулей, их продукция поставляется заказчикам со стандартными настройками, которые не допускают подобных атак. В то же время, установкой и настройкой таких модулей могут заниматься не всегда добропорядочные люди, так что система действительно уязвима. Следует отметить, что полного решения новой проблемы банкам придется как минимум проверить настройки HSM - модулей во всех банкоматах и серверах, а это дорогостоящий процесс. В противном случае скомпрометированную платежную систему придется создавать с нуля, а это тоже обойдется недешево.