Bir güvenlik açığı, temassız bir Visa ödemesi için PIN isteğinin atlanmasına izin verir. ETH Zürih'teki araştırmacılar, suçluların PIN'lerini bilmeden kredi kartlarıyla ödeme yapmak için kullanabilecekleri bir güvenlik açığı keşfettiler.
Zürih'teki İsviçre Federal Teknoloji Enstitüsü'nden (ETH Zürih) bir araştırma ekibi, kredi kartı sağlayıcısı Visa'nın temassız ödemeleri için EMV protokolünde, saldırganların PIN isteğini atlamasına ve kredi kartı dolandırıcılığı yapmasına izin verebilecek bir güvenlik açığı buldu.
Temassız ödeme ile mal veya hizmet için ödeme yaparken genellikle bir sınır vardır. Bu sınır aşılır aşılmaz, kart terminali kart hamilinden bir PIN doğrulaması ister. Bununla birlikte, "EMV Standardı: Kır, Düzelt, Doğrula" başlıklı yeni çalışma, suçluların kusurlu bir kredi kartını, toplam limiti aşsa bile PIN'i girmek zorunda kalmadan hileli satın almalar yapmak için kullanabileceğini gösteriyor.
Vize ödemesi: saldırının gösterilmesi
Bilim adamları, iki Android telefon, temassız bir kredi kartı ve bu amaç için özel olarak geliştirilmiş bir Android uygulaması kullanarak saldırının uygulanabilirliğini gösterdiler: "Ödeme terminalinin yanındaki telefon, saldırganın kart öykünücüsüdür ve kurbanın kredi kartının yanındaki telefon, saldırganın POS emülatörü. Saldırganın cihazları birbiriyle WiFi üzerinden, terminal ve kartla da NFC üzerinden iletişim kuruyor” dedi. Uygulama, herhangi bir özel kök izni veya Android hack'i gerektirmez.
Araştırma raporu, "Saldırı, bir kartın veri nesnesini -"Kart İşlem Niteleyicisi"- terminale iletilmeden önce değiştirmeyi içeriyor" diyor. Bu değişiklik, terminale PIN doğrulamasının gerekli olmadığı ve kart sahibinin zaten tüketicinin cihazı tarafından doğrulanmış olduğu talimatını verir.
PIN baypas saldırısı
Araştırmacılar, PIN bypass saldırılarını altı temassız EMV protokolünden (Mastercard, Visa, American Express, JCB, Discover, UnionPay) birinde test ettiler. Ancak, pratikte doğrulanmamış olsalar da, saldırılarının Discover ve UnionPay protokollerinde de çalışabileceğinden şüpheleniyorlar. Akıllı kart ödemeleri için uluslararası standart protokol olan EMV, dünya çapında 9 milyardan fazla kart tarafından kullanılmaktadır ve Aralık 2019 itibarıyla dünya çapındaki tüm kart işlemlerinin %80'inden fazlasında kullanılmaktadır.
Araştırmacıların saldırıyı laboratuvar koşullarında test etmenin yanı sıra Visa Credit, Visa Electron ve V-Pay kartlarını kullanarak mağazalarda başarıyla gerçekleştirdiğini de belirtmekte fayda var. Elbette testler için kendi haritalarını kullandılar.
Saldırı pek fark edilmez
Araştırmacılara göre, müşterilerin akıllı telefonlarıyla mallar için ödeme yapması yaygın olduğundan, kasa personelinin Visa ödemesi yaparken bu saldırıları fark etmesi zor. Araştırmalar ayrıca başka bir güvenlik açığını da ortaya çıkardı. Eski Visa veya Mastercard kartlarıyla çevrimdışı temassız işlemler için, kartlar tarafından oluşturulan verileri, sözde "işlem kriptogramı", terminale iletilmeden önce değiştirebilirler.
Ancak, bu veriler terminal tarafından kontrol edilemez, yalnızca kartı veren kuruluş, yani banka tarafından kontrol edilebilir. O zamana kadar, suçlu mallarıyla birlikte çoktan ortadan kaybolmuştur. Etik nedenlerle, bu saldırı araştırma ekibi tarafından gerçek kart terminallerinde test edilmedi.
Ekip elbette Visa şirketine keşifleri hakkında bilgi verdi.
ESET.com adresindeki WeLiveSecurity blogunda daha fazlasını okuyun
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.