Недостаток безопасности позволяет обойти проверку PIN-кода при бесконтактных платежах Visa

Команда исследователей из Швейцарского федерального технологического института в Цюрихе (ETH Zurich) обнаружила уязвимость в бесконтактном протоколе Visa EMV, которая может позволить злоумышленникам выполнять атаки с обходом PIN-кода и совершать мошенничество с кредитными картами.

Как правило, существует ограничение суммы, которую вы можете заплатить за товары или услуги с помощью бесконтактной карты. Как только лимит будет превышен, терминал для карт запросит подтверждение у держателя карты — введение ПИН-кода.

Однако новое исследование, озаглавленное «Стандарт EMV: сломать, исправить, проверить», показало, что преступник, получивший доступ к кредитной карте, может использовать уязвимость для мошеннических покупок без необходимости вводить PIN-код даже в тех случаях, когда сумма превысила лимит.

Учёные продемонстрировали, как атака может быть проведена с использованием двух телефонов на базе Android, бесконтактной кредитной карты и экспериментального приложения Android, которое они специально разработали для этой цели.

«Телефон рядом с платежным терминалом является устройством-эмулятором карты злоумышленника, а телефон рядом с картой жертвы — устройством-эмулятором POS-терминала злоумышленника. Устройства злоумышленника обмениваются данными друг с другом через Wi-Fi, а с терминалом и картой через NFC », — пояснили исследователи, добавив, что их приложению не требуются какие-либо особые root права или взлом Android для работы.

Видео Bypassing PIN for a Visa card

 

«Атака состоит в модификации объекта данных, полученного с помощью карты — квалификаторов транзакции с картой — перед доставкой его на терминал», — говорится в описании атаки, при этом модификация указывает терминалу, что проверка PIN-кода не требуется и что владелец карты уже проверен на устройстве потребителя.

Исследователи протестировали атаку с обходом PIN-кода на одном из шести бесконтактных протоколов EMV (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Однако они предположили, что это может применяться и к протоколам Discover и UnionPay, хотя на практике они не тестировались. EMV, международный стандарт протокола для оплаты смарт-картами, используется более чем в 9 миллиардах карт по всему миру, и по состоянию на декабрь 2019 года он использовался более чем в 80% всех транзакций с предъявлением карт во всём мире.

Стоит отметить, что исследователи не просто протестировали атаку в лабораторных условиях, но и смогли успешно провести её в реальных магазинах, используя карты Visa Credit, Visa Electron и V Pay. Конечно, для теста они использовали свои собственные карты.

Команда также указала, что кассиру будет сложно заметить, что что-то происходит, поскольку клиенты стали регулярно оплачивать товары с помощью своих смартфонов.

Исследователи также обнаружили ещё одну уязвимость, которая связана с бесконтактными офлайн-транзакциями, выполняемыми с помощью карты Visa или старой карты Mastercard. Во время этой атаки киберпреступник модифицирует данные карты, называемые «криптограммой транзакции», перед тем, как они будут доставлены на терминал.

Однако эти данные терминал не может проверить, это может сделать только эмитент карты, то есть банк. Итак, к тому времени, когда это происходит, мошенник уже давно на свободе с товарами в руках. По этическим причинам команда не тестировала эту атаку на реальных терминалах.

Команда исследователей уведомила Visa о своих открытиях.

Оригинал статьи

1 сентября, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

07.07.2025
«Это проще, чем самолётами пытаться вывозить конкретные кадры»
07.07.2025
Отец Twitter показал «бету» нового офлайн-мессенджера
07.07.2025
ЕС запускает план по внедрению квантово-безопасной инфраструктуры
07.07.2025
Цифровое министерство взялось за «сеньоров»
07.07.2025
«Альфа-Банк»: Багбаунти — ещё один шаг в сторону повышения защищённости
04.07.2025
Конгрессмен рассказал агентам ФБР про кибербез (не наоборот)
04.07.2025
«Это ускорит развитие национальной платёжной инфраструктуры»
04.07.2025
«Пар»? «Ростелеком» строит свой Steam
04.07.2025
«Не будет никакой остановки». Европейский AI Act — на марше
04.07.2025
В России всё же создадут базу биометрии мошенников

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных