Недостаток безопасности позволяет обойти проверку PIN-кода при бесконтактных платежах Visa

Команда исследователей из Швейцарского федерального технологического института в Цюрихе (ETH Zurich) обнаружила уязвимость в бесконтактном протоколе Visa EMV, которая может позволить злоумышленникам выполнять атаки с обходом PIN-кода и совершать мошенничество с кредитными картами.

Как правило, существует ограничение суммы, которую вы можете заплатить за товары или услуги с помощью бесконтактной карты. Как только лимит будет превышен, терминал для карт запросит подтверждение у держателя карты — введение ПИН-кода.

Однако новое исследование, озаглавленное «Стандарт EMV: сломать, исправить, проверить», показало, что преступник, получивший доступ к кредитной карте, может использовать уязвимость для мошеннических покупок без необходимости вводить PIN-код даже в тех случаях, когда сумма превысила лимит.

Учёные продемонстрировали, как атака может быть проведена с использованием двух телефонов на базе Android, бесконтактной кредитной карты и экспериментального приложения Android, которое они специально разработали для этой цели.

«Телефон рядом с платежным терминалом является устройством-эмулятором карты злоумышленника, а телефон рядом с картой жертвы — устройством-эмулятором POS-терминала злоумышленника. Устройства злоумышленника обмениваются данными друг с другом через Wi-Fi, а с терминалом и картой через NFC », — пояснили исследователи, добавив, что их приложению не требуются какие-либо особые root права или взлом Android для работы.

Видео Bypassing PIN for a Visa card

 

«Атака состоит в модификации объекта данных, полученного с помощью карты — квалификаторов транзакции с картой — перед доставкой его на терминал», — говорится в описании атаки, при этом модификация указывает терминалу, что проверка PIN-кода не требуется и что владелец карты уже проверен на устройстве потребителя.

Исследователи протестировали атаку с обходом PIN-кода на одном из шести бесконтактных протоколов EMV (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Однако они предположили, что это может применяться и к протоколам Discover и UnionPay, хотя на практике они не тестировались. EMV, международный стандарт протокола для оплаты смарт-картами, используется более чем в 9 миллиардах карт по всему миру, и по состоянию на декабрь 2019 года он использовался более чем в 80% всех транзакций с предъявлением карт во всём мире.

Стоит отметить, что исследователи не просто протестировали атаку в лабораторных условиях, но и смогли успешно провести её в реальных магазинах, используя карты Visa Credit, Visa Electron и V Pay. Конечно, для теста они использовали свои собственные карты.

Команда также указала, что кассиру будет сложно заметить, что что-то происходит, поскольку клиенты стали регулярно оплачивать товары с помощью своих смартфонов.

Исследователи также обнаружили ещё одну уязвимость, которая связана с бесконтактными офлайн-транзакциями, выполняемыми с помощью карты Visa или старой карты Mastercard. Во время этой атаки киберпреступник модифицирует данные карты, называемые «криптограммой транзакции», перед тем, как они будут доставлены на терминал.

Однако эти данные терминал не может проверить, это может сделать только эмитент карты, то есть банк. Итак, к тому времени, когда это происходит, мошенник уже давно на свободе с товарами в руках. По этическим причинам команда не тестировала эту атаку на реальных терминалах.

Команда исследователей уведомила Visa о своих открытиях.

Оригинал статьи

1 сентября, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.09.2025
ВТБ: Переход к своим решениям — один из трендов современного финтеха
18.09.2025
«Россельхозбанк»: Китай и «азиатские тигры» показывают кратно опережающую динамику
18.09.2025
«Локомотив» импортозамещения приходит на конечную станцию?
18.09.2025
В Google Workspace появился новый уровень безопасности
18.09.2025
Число угроз API возросло до 40 тысяч инцидентов в первой половине 2025 года
17.09.2025
«Наша задача — обеспечить максимальное удобство и простоту при работе с почтой»
17.09.2025
К 2028 году — выплаты цифровым рублём, универсальный QR-код, биометрические транзакции
17.09.2025
Природа Камчатки киберочистится на четверо суток
17.09.2025
Синтез ИБ и кооперации в новом формате — конференция CoopDays IV
17.09.2025
Госдеп даёт 11 млн долларов за поимку украинского хакера

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных