Исследователи из Университета Ньюкасла в Великобритании, занимаясь тестированием микрочипов бесконтактных платежных карт VISA, обнаружили способ авторизации транзакций сверх установленного лимита.
В бесконтактных платежных картах VISA для обеспечения безопасности платежей используются криптопроцессор и технология автоматической идентификации объектов при помощи RFID-меток. В качестве платежной карты могут быть использованы мобильные устройства, оснащенные функцией NFC. В Европе эти карты используются как дебетовые для платежей на установленную сумму. В США лимит карты, не требующий введения PIN-кода, устанавливается продавцом, а для подтверждения платежей сверх этой суммы может понадобиться PIN-код или подпись владельца карты.
Как выяснили британские ученые, пользуясь похищенной бесконтактной картой, злоумышленник может выполнять сверхлимитные платежи, обходясь без PIN-кода и подписи. Лимит карты может быть проверен только в национальной валюте, любая покупка до 999 999,99 в иностранной валюте будет одобрена.
В репортаже BBC приводится утверждение VISA Europe о том, что в реальных условиях, где действуют многочисленные меры защиты, выполнить такую транзакцию будет весьма сложно. Руководитель исследовательской группы Мартин Эммс (Martin Emms) утверждает обратное.
Для моделирования действий злоумышленника эксперт создал фальшивый платежный терминал на основе мобильного устройства на платформе Android, с помощью которого считал данные платежной карты, находящейся в бумажнике. Поскольку в ситуации реального платежа сумма и валюта транзакции требуют подтверждения, остается надеяться, что атака, продемонстрированная Эммсом, представляет собой только потенциальную угрозу.
