В Швейцарской высшей технической школе Цюриха группа ученых обнаружила способ обхода PIN-кодов на бесконтактных картах Mastercard и Maestro.
Сообщается, что эксплуатация уязвимости позволяла киберпреступникам использовать украденные карты Maestro и Mastercard для оплаты дорогих товаров без необходимости предоставлять PIN-коды для бесконтактных платежей.
Отмечается, что злоумышленникам достаточно было иметь украденную карту для осуществления MitM-атаки (Man-in-the-Middle), а также два Android-смартфона и пользовательское приложение для Android, которое может вмешиваться в поля транзакции.
По предварительным данным, приложение должно быть установлено на обоих смартфонах, которые будут выступать в роли эмуляторов. Так, один смартфон помещается рядом с украденной картой и действует как эмулятор PoS-терминала. Таким образом обманом удается заставить карту инициировать транзакцию и делиться ее данными.
В это же время второй смартфон действует в качестве эмулятора карты и используется мошенником для передачи измененных данных транзакции в реальный PoS-терминал внутри магазина.
По данным группы ученых, которые нашли данный способ взлома карт, с точки зрения оператора PoS-терминала атака выглядит так, будто клиент платит с помощью своего мобильного платежного приложения. Однако на самом деле мошенник отправляет измененные данные транзакции, полученные с украденной карты.
Данная схема была выявлена исследовательской группой в прошлом году – тогда они обнаружили способ обхода PIN-кода для бесконтактных платежей Visa. Сообщается, что эксперты успешно протестировали схему с картами Visa Credit, Visa Debit, Visa Electron и V Pay.
После чего команда ETH Zurich продолжила свое исследование, сосредоточившись на обходе PIN-кодов на картах других платежных систем. Как оказалось, аналогичная проблема работала и на бесконтактных платежах с картами Mastercard и Maestro.
Тем не менее, между данными схемами мошенничества есть небольшая разница – в последнем случае PoS-терминалу не сообщается об успешной проверке PIN-кода. Вместо этого исследователи заставляют PoS-терминал принимать входящую транзакцию якобы от карты Visa, а не Mastercard или Maestro.
Исследователи протестировали атаку, выполнив транзакции на сумму до 400 швейцарских франков ($439) во время эксперимента. Отмечается, что Mastercard уже выпустила исправления для данной проблемы, но Visa, похоже, еще не устранила уязвимость.
Напомним, ранее мы писали о том, что в Украине удвоилось количество ФОПов с РРО.
На нашем сайте используются файлы cookie для сбора информации в маркетинговых целях. Подробно о сборе информации вы можете ознакомиться в «Политике конфиденциальности».
