Недостаток безопасности позволяет обойти проверку PIN-кода при бесконтактных платежах Visa

Команда исследователей из Швейцарского федерального технологического института в Цюрихе (ETH Zurich) обнаружила уязвимость в бесконтактном протоколе Visa EMV, которая может позволить злоумышленникам выполнять атаки с обходом PIN-кода и совершать мошенничество с кредитными картами.

Как правило, существует ограничение суммы, которую вы можете заплатить за товары или услуги с помощью бесконтактной карты. Как только лимит будет превышен, терминал для карт запросит подтверждение у держателя карты — введение ПИН-кода.

Однако новое исследование, озаглавленное «Стандарт EMV: сломать, исправить, проверить», показало, что преступник, получивший доступ к кредитной карте, может использовать уязвимость для мошеннических покупок без необходимости вводить PIN-код даже в тех случаях, когда сумма превысила лимит.

Учёные продемонстрировали, как атака может быть проведена с использованием двух телефонов на базе Android, бесконтактной кредитной карты и экспериментального приложения Android, которое они специально разработали для этой цели.

«Телефон рядом с платежным терминалом является устройством-эмулятором карты злоумышленника, а телефон рядом с картой жертвы — устройством-эмулятором POS-терминала злоумышленника. Устройства злоумышленника обмениваются данными друг с другом через Wi-Fi, а с терминалом и картой через NFC », — пояснили исследователи, добавив, что их приложению не требуются какие-либо особые root права или взлом Android для работы.

Видео Bypassing PIN for a Visa card

 

«Атака состоит в модификации объекта данных, полученного с помощью карты — квалификаторов транзакции с картой — перед доставкой его на терминал», — говорится в описании атаки, при этом модификация указывает терминалу, что проверка PIN-кода не требуется и что владелец карты уже проверен на устройстве потребителя.

Исследователи протестировали атаку с обходом PIN-кода на одном из шести бесконтактных протоколов EMV (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Однако они предположили, что это может применяться и к протоколам Discover и UnionPay, хотя на практике они не тестировались. EMV, международный стандарт протокола для оплаты смарт-картами, используется более чем в 9 миллиардах карт по всему миру, и по состоянию на декабрь 2019 года он использовался более чем в 80% всех транзакций с предъявлением карт во всём мире.

Стоит отметить, что исследователи не просто протестировали атаку в лабораторных условиях, но и смогли успешно провести её в реальных магазинах, используя карты Visa Credit, Visa Electron и V Pay. Конечно, для теста они использовали свои собственные карты.

Команда также указала, что кассиру будет сложно заметить, что что-то происходит, поскольку клиенты стали регулярно оплачивать товары с помощью своих смартфонов.

Исследователи также обнаружили ещё одну уязвимость, которая связана с бесконтактными офлайн-транзакциями, выполняемыми с помощью карты Visa или старой карты Mastercard. Во время этой атаки киберпреступник модифицирует данные карты, называемые «криптограммой транзакции», перед тем, как они будут доставлены на терминал.

Однако эти данные терминал не может проверить, это может сделать только эмитент карты, то есть банк. Итак, к тому времени, когда это происходит, мошенник уже давно на свободе с товарами в руках. По этическим причинам команда не тестировала эту атаку на реальных терминалах.

Команда исследователей уведомила Visa о своих открытиях.

Оригинал статьи

1 сентября, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных