+38 (067) 682-29-85
+38 (093) 682-29-85
+38 (093) 744-98-06
LOCKER's - официальный интернет-магазин
  • м. Киев. вул. Березнева, 10, оф. 1208
  • zakaz@lockers.com.ua
  • График работы: Пн-Пт: 10:00 - 18:00,
    Сб-Вс: выходной
Информация
Поиск

Кража денег с PayPass-карты - теперь не только 500 грн

Мы уже не раз писали о том, что злоумышленники могут бесконтактно похитить с карты до 500 грн, не зная PIN код. Теперь этого ограничения нет – можно украсть любую сумму в любой точке мира!

Исследователи из Цюриха опубликовали отчет, который показывает уязвимость в дизайне стандарта EMV и протоколе бесконтактных платежей Visa. Все, что нужно злоумышленнику – два смартфона со специальным ПО.

Принцип атаки:

На первом смартфоне установлен PoS-эмулятор, который злоумышленник должен поднести к карте жертвы. Он запрашивает карту для совершения платежа, модифицирует данные транзакции, указывая, что ввод PIN-кода не требуется, а затем передает информацию по интернету другому смартфону, на котором установлен эмулятор бесконтактной карты VISA. И уже со второго смартфона происходит оплата «картой» на реальный терминал, без PIN кода.

Видео работы уязвимости опубликовано на канале разработчиков




Данная уязвимость опасна по двум причинам. 

Первая – уязвимость на уровне архитектуры протоколов VISA, и архитектуры самого стандарта бесконтактной оплаты. А это значит, что на исправление могут уйти годы и миллионы долларов. 

Вторая – простота технической реализации. Не нужно приобретать POS терминал, регистрировать фирму и подключать эквайринг. Можно просто рассчитаться за дорогой товар в магазине, в то время как настоящий владелец и сама карта будут где-то на другом конце города ехать в маршрутке. Это исследователи и сделали в качестве эксперимента - они смогли успешно обойти PIN-коды при использовании карт Visa Credit, Visa Electron и VPay.

И главная проблема – поскольку этот тип атаки не ограничивается 500 гривнами, он стал выгоднее, прибыльнее, и рентабельнее  для злоумышленника.

Полный отчет и математические расчёты исследователи выложили в публичном доступе (https://arxiv.org/pdf/2006.08249.pdf), и в скором времени наверняка появится ПО для подобных атак. Ведь даже если исследователи не выложили ПО в открытый доступ, то повторить то, что кто-то сделал один раз и доказал возможность такой атаки – для злоумышленника не проблема…

Чтобы не беспокоиться о подобный угрозах, покупайте кошельки с RFID защитой от LOCKER’s


Отзывов: 0 Написать отзыв


Написать отзыв

Внимание: HTML не поддерживается! Используйте обычный текст.
    Плохо           Хорошо
Популярные Статьи
Инструкция по работе с токенами SecureToken-337

Инструкция по работе с токенами SecureToken-337

Токены ТОВ «АВТОР» 337 серии представляют собой смарт-карты с пластиковым или металлическим разъемом:SecureToken 337M - с пластиковым USB разъемом.SecureToken 337К – с металлическим. Crypto Cart ..
40830
13.01.2021
Особистий ключ електронного підпису розміщено на незахищеному носії інформації - что делать

Особистий ключ електронного підпису розміщено на незахищеному носії інформації - что делать

Многие плательщики при отправке электронных документов фискалам (подаче декларации/отправке налоговых на регистрацию) начиная с 16 апреля 2019 года стали получать квитанции с предупреждением о том, чт..
31527
29.04.2019
Глушилка, джаммер или подавитель радиосигналов: что это такое и зачем оно мне

Глушилка, джаммер или подавитель радиосигналов: что это такое и зачем оно мне

Все перечисленное относится к одному устройству, назначение которого — создать помехи для радиоканала. Другая техника, которая работает на заглушенной частоте, перестает передавать и принимать сигналы..
24613
12.02.2021
Инструкция по работе с токенами Алмаз-1к, Кристал-1

Инструкция по работе с токенами Алмаз-1к, Кристал-1

Токены Института  Информационных Технологий представляют собой смарт-карты в пластиковом или металлическим корпусе, условно их можно разделить на три модели: Алмаз-1К  в пластиковом или в..
22460
13.01.2021