Команда исследователей из Швейцарского федерального технологического института в Цюрихе (ETH Zurich) обнаружила уязвимость в бесконтактном протоколе Visa EMV, которая может позволить злоумышленникам выполнять атаки с обходом PIN-кода и совершать мошенничество с кредитными картами.
Как правило, существует ограничение суммы, которую вы можете заплатить за товары или услуги с помощью бесконтактной карты. Как только лимит будет превышен, терминал для карт запросит подтверждение у держателя карты — введение ПИН-кода.
Однако новое исследование, озаглавленное «Стандарт EMV: сломать, исправить, проверить», показало, что преступник, получивший доступ к кредитной карте, может использовать уязвимость для мошеннических покупок без необходимости вводить PIN-код даже в тех случаях, когда сумма превысила лимит.
Учёные продемонстрировали, как атака может быть проведена с использованием двух телефонов на базе Android, бесконтактной кредитной карты и экспериментального приложения Android, которое они специально разработали для этой цели.
«Телефон рядом с платежным терминалом является устройством-эмулятором карты злоумышленника, а телефон рядом с картой жертвы — устройством-эмулятором POS-терминала злоумышленника. Устройства злоумышленника обмениваются данными друг с другом через Wi-Fi, а с терминалом и картой через NFC », — пояснили исследователи, добавив, что их приложению не требуются какие-либо особые root права или взлом Android для работы.
Видео Bypassing PIN for a Visa card
«Атака состоит в модификации объекта данных, полученного с помощью карты — квалификаторов транзакции с картой — перед доставкой его на терминал», — говорится в описании атаки, при этом модификация указывает терминалу, что проверка PIN-кода не требуется и что владелец карты уже проверен на устройстве потребителя.
Исследователи протестировали атаку с обходом PIN-кода на одном из шести бесконтактных протоколов EMV (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Однако они предположили, что это может применяться и к протоколам Discover и UnionPay, хотя на практике они не тестировались. EMV, международный стандарт протокола для оплаты смарт-картами, используется более чем в 9 миллиардах карт по всему миру, и по состоянию на декабрь 2019 года он использовался более чем в 80% всех транзакций с предъявлением карт во всём мире.
Стоит отметить, что исследователи не просто протестировали атаку в лабораторных условиях, но и смогли успешно провести её в реальных магазинах, используя карты Visa Credit, Visa Electron и V Pay. Конечно, для теста они использовали свои собственные карты.
Команда также указала, что кассиру будет сложно заметить, что что-то происходит, поскольку клиенты стали регулярно оплачивать товары с помощью своих смартфонов.
Исследователи также обнаружили ещё одну уязвимость, которая связана с бесконтактными офлайн-транзакциями, выполняемыми с помощью карты Visa или старой карты Mastercard. Во время этой атаки киберпреступник модифицирует данные карты, называемые «криптограммой транзакции», перед тем, как они будут доставлены на терминал.
Однако эти данные терминал не может проверить, это может сделать только эмитент карты, то есть банк. Итак, к тому времени, когда это происходит, мошенник уже давно на свободе с товарами в руках. По этическим причинам команда не тестировала эту атаку на реальных терминалах.
Команда исследователей уведомила Visa о своих открытиях.
.jpg)
.jpg)
.png)