Информация
Поиск

Кража денег с PayPass-карты - теперь не только 500 грн

Мы уже не раз писали о том, что злоумышленники могут бесконтактно похитить с карты до 500 грн, не зная PIN код. Теперь этого ограничения нет – можно украсть любую сумму в любой точке мира!

Исследователи из Цюриха опубликовали отчет, который показывает уязвимость в дизайне стандарта EMV и протоколе бесконтактных платежей Visa. Все, что нужно злоумышленнику – два смартфона со специальным ПО.

Принцип атаки:

На первом смартфоне установлен PoS-эмулятор, который злоумышленник должен поднести к карте жертвы. Он запрашивает карту для совершения платежа, модифицирует данные транзакции, указывая, что ввод PIN-кода не требуется, а затем передает информацию по интернету другому смартфону, на котором установлен эмулятор бесконтактной карты VISA. И уже со второго смартфона происходит оплата «картой» на реальный терминал, без PIN кода.

Видео работы уязвимости опубликовано на канале разработчиков




Данная уязвимость опасна по двум причинам. 

Первая – уязвимость на уровне архитектуры протоколов VISA, и архитектуры самого стандарта бесконтактной оплаты. А это значит, что на исправление могут уйти годы и миллионы долларов. 

Вторая – простота технической реализации. Не нужно приобретать POS терминал, регистрировать фирму и подключать эквайринг. Можно просто рассчитаться за дорогой товар в магазине, в то время как настоящий владелец и сама карта будут где-то на другом конце города ехать в маршрутке. Это исследователи и сделали в качестве эксперимента - они смогли успешно обойти PIN-коды при использовании карт Visa Credit, Visa Electron и VPay.

И главная проблема – поскольку этот тип атаки не ограничивается 500 гривнами, он стал выгоднее, прибыльнее, и рентабельнее  для злоумышленника.

Полный отчет и математические расчёты исследователи выложили в публичном доступе (https://arxiv.org/pdf/2006.08249.pdf), и в скором времени наверняка появится ПО для подобных атак. Ведь даже если исследователи не выложили ПО в открытый доступ, то повторить то, что кто-то сделал один раз и доказал возможность такой атаки – для злоумышленника не проблема…

Чтобы не беспокоиться о подобный угрозах, покупайте кошельки с RFID защитой от LOCKER’s


Популярные Статьи
Особистий ключ електронного підпису розміщено на незахищеному носії інформації - что делать
Многие плательщики при отправке электронных документов фискалам (подаче декларации/отправке налоговых на регистрацию) начиная с 16 апреля 2019 года стали получать квитанции с предупреждением о том, чт..
19421
Инструкция по работе с токенами SecureToken-337
Токены ТОВ «АВТОР» 337 серии представляют собой смарт-карты с пластиковым или металлическим разъемом:SecureToken 337M - с пластиковым USB разъемом.SecureToken 337К – с металлическим. Crypto Cart ..
14343
Инструкция по работе с токенами Алмаз-1к, Кристал-1
Токены Института  Информационных Технологий представляют собой смарт-карты в пластиковом или металлическим корпусе, условно их можно разделить на три модели: Алмаз-1К  в пластиковом или в..
6652
Как отключить слежение в браузере Google Chrome
Компания Google на днях опять оказалась в центре внимания. Все уже давно знают, что браузер Хром следит за пользователями и «сливает» информацию куда нужно, но вот последние новости уже переходят всяк..
5552