האקר פיצח אלגוריתם של אמריקן אקספרקס ופיתח מכשיר לסליקה מרחוק בקופות

ההאקר סמי קמקר (Samy Kamkar) פיתח רכיב בשווי 10 דולרים אשר יכול לחזות ולאחסן מאות כרטיסי אשראי של אמריקן אקספרס ולהשתמש בהם לביצוע סליקה אלחוטית, אפילו במסופי סליקה שאינם אלחוטיים.

קמקר עשה זאת באמצעות חשיפת הדרך בה אמריקן אקספרס בוחרת את מספרי ההחלפה, ובאמצעות ניתוח הפונקציות של הפס המגנטי. המשמעות היא שעבריינים יכולים לעשות שימוש ב"גאדג'ט" המזערי כדי לגנוב מזומנים בעסקים שאינם דורשים הצגת מספרי CVV הנמצאים מאחורי הכרטיס.

אמריקן אקספרס פועלת לתיקון הבעיה.

"ה- Megspoof הוא מכשיר אשר יכול לזייף כל פס מגנטי או כרטיס אשראי באופן אלחוטי, יכול לבטל הגנת EMV, לעבור בין מצבי כרטיסים שונים, ולחזות במדויק את מספר הכרטיס והתוקף של כרטיסי אשראי של אמריקן אקספרס", אמר קמקר. "אתה יכול להחזיק את ההתקן אל מול כל נקודת מכירה מודרנית והיא תאמין שהכרטיס נסלק".

"אספתי מספרים של מספר כרטיס אמריקן אקספרס, והשוותי אותן ליותר מ- 20 אחרים, ומצאתי תבנית המאפשרת לי לחזות במדויק את מספרים חלופיים ותאריכי תפוגה".

היכולת האלחוטית פועלת באמצעות שידור שדה מגנטי חזק המחקה את זה המופק כאשר מעבירים כרטיס אשראי באופן ידני. ניתן להוריד את הקוד הנדרש ולעקוב אחר ההוראות כדי לבנות את המכשיר, אך קמקר לא מוסר את האלגוריתם לחיזוי המספרים.

"תקן ה- EMV פותח על ידי מאגד של חברות האשראי כדי למנוע דליפות והונאות בתחום האשראי. הוא הפך למחייב עבור כל כרטיס אשראי באוקטובר השנה. אך כפי שאנחנו רואים, יש צדדים רבים להגנה על אשראי, ובעוד מחזקים צד אחד יש יותר ויותר האקרים שמחפשים כיצד לנצל נקודות חולשה אחרות בתהליך הסליקה – כולל בקופות עצמן, בבסיסי הנתונים של חברות, ובהתנהגות האנושית עם כרטיסי אשראי", מסביר יצחק גסנר, מנהל פיתוח עסקי בחברת הסליקה פלאקארד.