Виявлено спосіб обходу PIN-кодів для платежів Mastercard

  • Юлия
  • 31.08.2021 105

У Швейцарській вищій технічній школі Цюріха група вчених виявила спосіб обходу PIN-кодів на безконтактних картках Mastercard та Maestro.

Повідомляється, що експлуатація уразливості дозволяла кіберзлочинцям використовувати вкрадені картки Maestro і Mastercard для оплати дорогих товарів без необхідності надавати PIN-коди для безконтактних платежів.

Відзначається, що зловмисникам достатньо було мати вкрадену картку для здійснення MitM-атаки (Man-in-the-Middle), а також два Android-смартфона та користувальницький додаток для Android, який може втручатися в поля транзакції.

За попередніми даними, програма має бути встановлена на обох смартфонах, які будуть виступати в ролі емуляторів. Так, один смартфон поміщається поруч з краденої карткою і діє як емулятор PoS-терміналу. Таким чином обманом вдається змусити картку ініціювати транзакцію і ділитися її даними.

В цей же час другий смартфон діє в якості емулятора картки і використовується шахраєм для передачі змінених даних транзакції в реальний PoS-термінал всередині магазину.

За даними групи вчених, які знайшли цей спосіб злому карток, з точки зору оператора PoS-терміналу атака виглядає так, ніби клієнт платить за допомогою свого мобільного платіжного додатка. Однак насправді шахрай відправляє змінені дані транзакції, отримані з викраденої картки.

Дана схема була виявлена ​​дослідницькою групою в минулому році – тоді вони виявили спосіб обходу PIN-коду для безконтактних платежів Visa. Повідомляється, що експерти успішно протестували схему з картами Visa Credit, Visa Debit, Visa Electron і V Pay.

Після чого команда ETH Zurich продовжила своє дослідження, зосередившись на обході PIN-кодів на картах інших платіжних систем. Як виявилося, аналогічна проблема працювала і на безконтактних платежах з картками Mastercard і Maestro.

Проте, між даними схемами шахрайства є невелика різниця – в останньому випадку PoS-терміналу не повідомляється про успішну перевірку PIN-коду. Замість цього дослідники змушують PoS-термінал приймати вхідну транзакцію нібито від карти Visa, а не Mastercard або Maestro.

Дослідники протестували атаку, виконавши транзакції на суму до 400 швейцарських франків ($ 439) під час експерименту. Відзначається, що Mastercard вже випустила виправлення для даної проблеми, але Visa, схоже, ще не усунула уразливість.

Підписатися на розсилку

Нагадаємо, раніше ми писали про те, що в Україні подвоїлася кількість ФОПів з РРО.

avatar

Читайте також

На нашому сайті використовуються файли cookie для збору інформації в маркетингових цілях. Детально про збір інформації ви можете ознайомитися в «Політиці конфіденційності».