+38 (067) 682-29-85
+38 (093) 682-29-85
LOCKER's - офіційний інтернет-магазин
  • м. Київ. вул. Березнева, 10, оф. 1208
  • zakaz@lockers.com.ua
  • Графік роботи: Пн-Пт: 10:00 - 18:00,
    Сб-Нд: вихідний
Information
Search

Крадіжка грошей з PayPass-карти - тепер не тільки 500 грн

Ми вже не раз писали про те, що зловмисники можуть безконтактно викрасти з карти до 500 грн, не знаючи PIN код. Тепер цього обмеження немає - можна вкрасти будь-яку суму в будь-якій точці світу!

Дослідники з Цюріха опублікували звіт, який показує вразливість в дизайні стандарту EMV і протоколі безконтактних платежів Visa. Все, що потрібно зловмисникам - два смартфона зі спеціальним ПО.

Принцип атаки:

На першому смартфоні встановлений PoS-емулятор, який зловмисник повинен піднести до карти жертви. Він запитує карту для здійснення платежу, модифікує дані транзакції, вказуючи, що введення PIN-коду не потрібно, а потім передає інформацію по інтернету іншому смартфону, на якому встановлений емулятор безконтактної карти VISA. І вже з другого смартфона відбувається оплата «картою» на реальний термінал, без PIN коду.

Відео роботи уразливості опубліковано на каналі розробників


Дана уразливість небезпечна з двох причин.

Перша - вразливість на рівні архітектури протоколів VISA, і архітектури самого стандарту безконтактної оплати. А це означає, що на виправлення можуть піти роки і мільйони доларів.

Друга - простота технічної реалізації. Не потрібно купувати POS термінал, реєструвати фірму і підключати еквайринг. Можна просто розрахуватися за дорогий товар в магазині, в той час, як справжній власник і сама карта будуть десь на іншому кінці міста їхати в маршрутці. Це дослідники і зробили в якості експерименту - вони змогли успішно обійти PIN-коди при використанні карт Visa Credit, Visa Electron і VPay.

І головна проблема - оскільки цей тип атаки не обмежується 500 гривнями, він став вигіднішим, прибутковіше, і рентабельніше для зловмисника.

Повний звіт і математичні розрахунки дослідники виклали в публічному доступі (https://arxiv.org/pdf/2006.08249.pdf), і незабаром напевно з'явиться ПО для подібних атак. Адже навіть якщо дослідники не виклали ПО у відкритий доступ, то повторити те, що хтось зробив один раз і довів можливість такої атаки - для зловмисника не проблема ...

Щоб не турбуватися про подібні загрози, купуйте гаманці з RFID захистом від LOCKER's 

Відгуків: 0 Написати відгук


Написати відгук

Увага: HTML не підтримується! Використовуйте звичайний текст.
    Погано           Добре
Популярні Статті
Інструкція по роботі з токенами SecureToken-337

Інструкція по роботі з токенами SecureToken-337

Токени ТОВ «АВТОР» 337 серії є смарт-карти з пластиковим або металевим роз'ємом:SecureToken 337M - з пластиковим USB роз'ємом.SecureToken 337К - з металевим.Crypto Cart 337 - вона відрізняється тільки..
35756
13.01.2021
Особистий ключ електронного підпису розміщено на незахищеному носії інформації - що робити

Особистий ключ електронного підпису розміщено на незахищеному носії інформації - що робити

Платники при відправці електронних документів фіскалам (подачі декларації / відправлення податкових на реєстрацію) починаючи з 16 квітня 2019 року стали отримувати квитанції з попередженням про те, що..
29258
29.04.2019
Інструкція по роботі з токенами Алмаз-1К, Кристал-1

Інструкція по роботі з токенами Алмаз-1К, Кристал-1

Токени Інституту Інформаційних Технологій представляють собою смарт-карти в пластиковому або металевим корпусі, умовно їх можна розділити на три моделі: Алмаз-1К в пластиковому або в металевому кор..
18581
13.01.2021
Глушилка, джаммер або пригнічувач радіосигналів: що це таке і навіщо воно мені

Глушилка, джаммер або пригнічувач радіосигналів: що це таке і навіщо воно мені

Все перераховане відноситься до одного пристрою, призначення якого - створити перешкоди для радіоканалу. Інша техніка, яка працює на заглушеній частоті, перестає передавати і приймати сигнали в радіус..
17719
12.02.2021