Ученые сумели обойти PIN-коды для бесконтактных платежей Visa

Опубликовано:

Пластиковая карта Visa в кармане брюк
Иллюстративное фото: SOPA Images / Contributor / Getty Images

Швейцарские ученые нашли способ обойти пин-коды на картах Visa для совершения бесконтактных платежей и покупки дорогостоящих товаров, передает NUR.KZ.

Группа ученых из Швейцарской высшей технической школы Цюриха обнаружила серьезную уязвимость в дизайне международного стандарта EMV и протоколе бесконтактных платежей Visa, пишет rozetked.me со ссылкой на официальный релиз.

Уязвимость кроется в том, что для платежа через "Визу" не требуется аутентификация и операция никак не шифруется, что позволяет легко вмешаться в этот процесс и изменить все платежные данные.

Условный злоумышленник может изменить информацию об управлении транзакцией и данные о том, была ли карта верифицирована владельцем перед оплатой.

Один из главных побочных эффектов - атака практически незаметна и выглядит как стандартная оплата с цифрового или мобильного кошелька. Сама операция совершается с помощью краденой карты Visa, спрятанной на теле.

Для того, чтобы провести операцию по взлому, нужны всего три вещи: краденая карта и два смартфона. На одном устройстве открывается фирменное приложение с мобильным банкингом, в то время как второе имитирует POS-терминал и должно быть рядом с картой.

С первого смартфона делается покупка, в то время как второй "проводит" эту оплату.

Самая важная роль в операции у "POS-терминала", который отправляет запрос на оплату и, пользуясь уязвимостью, указывает, что для данной оплаты подтверждение и пин-код не нужны.

Для использования всех программ, необходимых для взлома, смартфоны даже не надо взламывать на уровне прошивки или получать права "суперпользователя".

Ученые указывают, что испытали метод на смартфонах марок "Хуавей" и "Гугл Пиксель", а также на картах Visa Credit, Visa Electron и VPay - все сработало.

Еще одна из обнаруженных проблем безопасности связана с оффлайн-оплатами с помощью как Visa, так и Mastercard.

В тот момент, когда карта бесконтактно прикладывается к POS-терминалу, специальная аутентификация ApplicationCryptogram - криптографическое подтверждение транзакции от эмитента карты - не срабатывает.

Это приводит к тому, что злоумышленник может заставить терминал принять неавторизованную транзакцию. 

Оригинал статьи: https://www.nur.kz/world/1871739-ucenye-sumeli-obojti-pin-kody-dla-beskontaktnyh-platezej-visa/

Автор: Ливио Манджиаторди
Ученые сумели обойти PIN-коды для бесконтактных платежей Visa