Обнаружен способ обхода PIN-кодов для бесконтактных платежей Mastercard и Maestro

Обнаружен способ обхода PIN-кодов для бесконтактных платежей Mastercard и Maestro 1

Эксплуатация уязвимости позволяет использовать украденные карты Mastercard и Maestro для оплаты дорогих товаров.

Группа ученых из Швейцарской высшей технической школы Цюриха обнаружила способ обхода PIN-кодов на бесконтактных картах Mastercard и Maestro. Эксплуатация уязвимости позволяла киберпреступникам использовать украденные карты Mastercard и Maestro для оплаты дорогих продуктов без необходимости предоставлять PIN-коды для бесконтактных платежей.

Для осуществления MitM-атаки (Man-in-the-Middle) злоумышленнику потребуется украденная карта, два Android-смартфона и пользовательское приложение для Android, которое может вмешиваться в поля транзакции. Приложение должно быть установлено на обоих смартфонах, которые будут выступать в роли эмуляторов. Один смартфон будет помещен рядом с украденной картой и будет действовать как эмулятор PoS-терминала, обманом заставляя карту инициировать транзакцию и делиться ее данными, в то время как второй смартфон будет действовать в качестве эмулятора карты и использоваться мошенником для передачи измененных данных транзакции в реальный PoS-терминал внутри магазина.

С точки зрения оператора PoS-терминала атака выглядит так, будто клиент платит с помощью своего мобильного платежного приложения, но на самом деле мошенник отправляет измененные данные транзакции, полученные с украденной карты.

Исследовательская группа использовала эту схему атаки в прошлом году , когда они обнаружили способ обхода PIN-кода для бесконтактных платежей Visa. Эксперты успешно протестировали атаку с картами Visa Credit, Visa Debit, Visa Electron и V Pay.

Читайте также:  «Мир» в Турции: что происходит с российскими картами

Затем команда ETH Zurich продолжила свое исследование и сосредоточилась на обходе PIN-кодов на других типах карт, которые не использовали протокол бесконтактных платежей Visa. Как оказалось, аналогичная проблема затрагивала и бесконтактные платежи с картами Mastercard и Maestro.

В данному случае разница заключается в том, что PoS-терминалу не сообщается об успешной проверке PIN-кода. Вместо этого исследователи заставляют PoS-терминал принимать входящую транзакцию якобы от карты Visa, а не Mastercard или Maestro.

Исследователи успешно протестировали атаку с картами Mastercard Credit и Maestro, выполнив транзакции на сумму до 400 швейцарских франков ($439) во время эксперимента.

Mastercard выпустила исправления для данной проблемы в начале этого года, но Visa, похоже, еще не устранила уязвимость.

Источник

Автор публикации

не в сети 3 дня

Андрей Маргулис

548
С организацией DDoS атак завязал.
Выкладываю новости технологий и интересные статьи с темной стороны интернета.
31 год
День рождения: 14 Мая 1991
Комментарии: 548Публикации: 2727Регистрация: 12-12-2015
Понравилась статья? Поделиться с друзьями:
РЭНБИ - Россия
Авторизация
*
*
Регистрация
*
*
*
*
Ваш день рождения * :
Число, месяц и год:
Отображать дату:
Генерация пароля
/