Säkerhet av uttagsautomater
Uttagsautomater (ATM) är mål för bedrägerier, rån och andra säkerhetsintrång. Tidigare var huvudsyftet med bankomater att leverera kontanter i form av sedlar, och att debitera ett motsvarande bankkonto. Uttagsautomater blir dock mer komplicerade och de fyller nu många funktioner och blir därmed ett högprioriterat mål för rånare och hackare.
Introduktion
Moderna bankomater är implementerade med högsäkerhetsskyddsåtgärder. De arbetar under komplexa system och nätverk för att utföra transaktioner. Data som behandlas av bankomater är vanligtvis krypterade, men hackare kan använda diskreta hackare för att hacka konton och ta ut kontots saldo. Som ett alternativ hotar okvalificerade rånare bankkunder med ett vapen för att plundra deras uttagna pengar eller konto.
Metoder för att plundra bankomater
ATM-vandaler kan antingen fysiskt manipulera bankomaten för att få kontanter, eller använda kreditkortsskimningsmetoder för att få kontroll över användarens kreditkortskonto. Kreditkortsbedrägeri kan göras genom att sätta in diskreta skumningsenheter över knappsatsen eller kreditkortsläsaren. Det alternativa sättet till kreditkortsbedrägeri är att identifiera PIN-koden direkt med enheter som kameror dolda nära knappsatsen.
Säkerhetsåtgärder för bankomater
PIN-valideringsscheman för lokala transaktioner
On-line PIN-validering
Validering av on-line PIN sker om terminalen i fråga är ansluten till den centrala databasen. Den PIN-kod som kunden uppger jämförs alltid med den registrerade referens-PIN-koden i finansinstituten. En nackdel är dock att varje fel i nätverket gör ATM oanvändbar tills den är fixad.
Off-line PIN-validering
Vid offline-PIN-validering är uttagsautomaten inte ansluten till den centrala databasen. En förutsättning för off-line PIN-validering är att bankomaten ska kunna jämföra kundens inmatade PIN-kod med referens-PIN. terminalen måste kunna utföra kryptografiska operationer och den måste ha de erforderliga krypteringsnycklarna till sitt förfogande.
Offlinevalideringsschemat är extremt långsamt och ineffektivt. Offline PIN-validering är nu föråldrad, eftersom uttagsautomaterna är anslutna till den centrala servern över skyddade nätverk.
PIN-validering för utväxlingstransaktioner
Det finns tre PIN-procedurer för driften av en högsäkerhetstransaktion. Den tillhandahållna PIN-koden krypteras vid ingångsterminalen, under detta steg används en hemlig kryptografisk nyckel. Förutom andra transaktionselement sänds den krypterade PIN-koden till förvärvarens system. Sedan dirigeras den krypterade PIN-koden från förvärvarens system till en hårdvarusäkerhetsmodul . Inuti den är PIN-koden dekrypterad. Med en kryptografisk nyckel som används för utbyte, krypteras den dekrypterade nyckeln omedelbart om och dirigeras till emittentens system via normala kommunikationskanaler. Slutligen dekrypteras den skickade PIN-koden i utfärdarens säkerhetsmodul och valideras sedan på basis av teknikerna för lokal PIN-validering online.
Det finns olika transaktionsmetoder som används i delade uttagsautomater med avseende på kryptering av PIN-kod, och meddelandeautentisering bland dem är så kallad "zonkryptering". I den här metoden utses en betrodd myndighet att arbeta på uppdrag av en grupp banker så att de kan utbyta meddelanden för godkännande av bankomatbetalningar.
Säkerhetsmodul för hårdvara
För framgångsrik kommunikation mellan banker och uttagsautomater är införlivandet av en kryptografisk modul, vanligtvis kallad en säkerhetsmodul, en kritisk komponent för att upprätthålla korrekta förbindelser mellan banker och maskiner. Säkerhetsmodulen är designad för att vara manipuleringssäker . Säkerhetsmodulen utför en uppsjö av funktioner, och bland dem är PIN-verifiering, PIN-översättning vid utbyte, nyckelhantering och meddelandeautentisering. Användningen av PIN i växlingar skapar oro för säkerheten eftersom PIN-koden kan översättas av säkerhetsmodulen till det format som används för växling. Säkerhetsmodulen ska dessutom generera, skydda och underhålla alla nycklar som är associerade med användarens nätverk.
Autentisering och dataintegritet
Den personliga verifieringsprocessen börjar med att användaren tillhandahåller personlig verifieringsinformation. Denna information inkluderar en PIN-kod och den tillhandahållna kundens information som registreras på bankkontot. I de fall det finns en lagring av en kryptografisk nyckel på bankkortet kallas det för en personlig nyckel (PK). Personliga identifieringsprocesser kan göras av autentiseringsparametern (AP). Den kan fungera på två sätt. Det första alternativet är där en AP kan vara tidsinvariant. Det andra alternativet är där en AP kan vara tidsvariant. Det finns ett fall där det finns en IP som är baserad på både tidsvarierande information och på meddelandet om transaktionsbegäran. I ett sådant fall där en AP kan användas som en meddelandeautentiseringskod (MAC), används meddelandeautentisering för att ta reda på inaktuella eller falska meddelanden som kan dirigeras både till kommunikationsvägen och detekteringen av modifierade meddelanden som är bedrägliga och som kan passera osäkra kommunikationssystem. I sådana fall tjänar AP två syften.
säkerhet
Säkerhetsbrott i elektroniska system för överföring av pengar kan göras utan att avgränsa deras komponenter. Elektroniska överföringssystem har tre komponenter; som är kommunikationslänkar, datorer och terminaler (ATM). För det första är kommunikationslänkar utsatta för attacker. Data kan exponeras med passiva medel eller direkta medel där en enhet sätts in för att hämta data. Den andra komponenten är datorsäkerhet. Det finns olika tekniker som kan användas för att skaffa åtkomst till en dator som att få åtkomst till den via en fjärrterminal eller annan kringutrustning som kortläsaren. Hackaren hade fått obehörig åtkomst till systemet, så program eller data kan manipuleras och ändras av hackaren. Terminalsäkerhet är en viktig komponent i de fall där chiffernycklar finns i terminaler. I avsaknad av fysisk säkerhet kan en missbrukare söka efter en nyckel som ersätter dess värde.
Se även
- ATMIA (ATM Industry Association)
externa länkar
- https://www.lightbluetouchpaper.org/ - Säkerhetsforskning, Computer Laboratory University of Cambridge