Уразливість безпеки дозволяє обійти запит PIN-коду для безконтактної оплати Visa. Дослідники з ETH Zurich виявили вразливість, за допомогою якої злочинці могли здійснювати платежі за допомогою кредитних карток, не знаючи своїх PIN-кодів.
Дослідницька група зі Швейцарського федерального технологічного інституту в Цюріху (ETH Zurich) виявила вразливість у безпеці протоколу EMV для безконтактних платежів від постачальника кредитних карт Visa, яка може дозволити зловмисникам обійти запит PIN-коду та вчинити шахрайство з кредитною карткою.
При безконтактній оплаті зазвичай існує ліміт при оплаті товарів чи послуг. Як тільки це буде перевищено, картковий термінал запитує у власника картки підтвердження PIN-коду. Однак нове дослідження під назвою «Стандарт EMV: зламати, виправити, перевірити» показує, що злочинці можуть використовувати несправну кредитну картку для здійснення шахрайських покупок без необхідності вводити PIN-код, навіть якщо сума перевищує ліміт.
Оплата візи: демонстрація атаки
Вчені продемонстрували можливість атаки за допомогою двох телефонів Android, безконтактної кредитної картки та спеціально розробленого для цього додатка Android: «Телефон біля платіжного терміналу є емулятором картки зловмисника, а телефон біля кредитної картки жертви — POS емулятор зловмисника. Пристрої зловмисника спілкуються один з одним через WiFi, а з терміналом і карткою — через NFC», — пояснили дослідники. Програма не потребує жодних спеціальних прав root або хаків Android.
«Атака полягає у зміні об’єкта даних картки — «Кваліфікатора транзакції картки» — перед тим, як вона буде передана на термінал», — йдеться в дослідницькому звіті. Ця зміна повідомляє терміналу, що перевірка PIN-коду не потрібна і що власника картки вже було перевірено пристроєм споживача.
Атака в обхід PIN-коду
Дослідники протестували свою атаку на обхід PIN-коду на одному з шести безконтактних протоколів EMV (Mastercard, Visa, American Express, JCB, Discover, UnionPay). Однак вони підозрюють, що їх атака також може працювати на протоколах Discover і UnionPay, хоча це не було перевірено на практиці. EMV, міжнародний стандартний протокол для платежів смарт-картками, використовується понад 9 мільярдами карток у всьому світі та використовується в понад 2019% усіх карткових транзакцій у всьому світі станом на грудень 80 року.
Також варто відзначити, що дослідники не тільки протестували атаку в лабораторних умовах, але й успішно провели її в магазинах за допомогою карт Visa Credit, Visa Electron і V-Pay. Звичайно, для тестів вони використовували власні карти.
Напад майже не помічається
За словами дослідників, персоналу каси важко помітити ці атаки під час здійснення платежу Visa, оскільки клієнти зазвичай оплачують товари за допомогою своїх смартфонів. Розслідування також виявили іншу вразливість безпеки. Для офлайн-безконтактних транзакцій зі старими картками Visa або Mastercard вони могли змінювати дані, згенеровані картками, так звану «криптограму транзакцій», до того, як вона буде передана на термінал.
Однак ці дані не може перевірити термінал, а тільки емітент картки, тобто банк. На той час злочинець уже давно зник разом зі своїм товаром. З етичних міркувань дослідницька група не перевіряла цю атаку на справжніх карткових терміналах.
Команда, звісно, повідомила про свої відкриття компанії Visa.
Докладніше читайте в блозі WeLiveSecurity на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.