Popularny przede wszystkim w Europie system zabezpieczeń, sprowadzający się do połączenia czipu w karcie i numeru PIN wpisywanego na klawiaturze bankomatu, można błyskawicznie złamać. Udowodnili to amerykańscy hakerzy podczas odbywającej się w Las Vegas konferencji Black Hat.
Wbrew nazwie, na konferencję w Las Vegas zjeżdżają się przede wszystkim „białe kapelusze”: hakerzy łamiący zabezpieczenia w dobrej sprawie – dla instytucji badawczych lub dla wskazania luk w zabezpieczeniach. Tak było i tym razem. Na celownik wzięli system czip+PIN, w branży bankowej postrzegany jako bezpieczniejszy od podatnych na „skanowanie” pasków magnetycznych, używanych m.in. za Atlantykiem.
Grupa badaczy – na co dzień pracująca dla firmy Rapid7 – dobitnie udowodniła, że zabezpieczenia oparte na kartach z czipem i numerach PIN nie są dla sprawnych hakerów żadną przeszkodą. - Są nieco przecenione – mówił z nutką ironii nadzorujący demonstracyjny atak na bankomat w trakcie konferencji Tod Beardsley, szef działu badań Rapid7.
Wystarczyło kilka minut, żeby bankomat, na którym prezentowali swój atak badacze, zaczął wypluwać stosy gotówki. Jak to się stało? W uproszczeniu – bowiem hakerzy ukryli część szczegółów, by nie podpowiadać przestępcom – operację podzielono na dwie fazy. W pierwszej umieszczono w zewnętrznej obudowie bankomatu (a więc bez konieczności dostania się do środka maszyny) shimmer – urządzenie, które służy do przechwycenia danych między czipem w karcie, a czujnikiem maszyny.
To shimmer odczytuje dane z karty, a także przechwytuje wpisany PIN. Następnie wysyła te dane do hakerów. W fazie drugiej, m.in. przy użyciu podłączonego do internetu smartfona, następuje „odtworzenie” zhakowanej karty – i pozostaje wybrać gotówkę. Jasne, operacja będzie możliwa do momentu aż osiągnięte zostaną pewne limity: stanu konta, limitów karty czy wreszcie gotówki w bankomacie. Ale Beardsley jest zdania, że wystarczy, by przestępcy dysponowali np. kilkudziesięcioma shimmerami, by móc wyciągać gotówkę z bankomatów na masową skalę. Czas więc chyba rezygnować z gotówki. Albo z bankomatów.