Security Week 38: MITM-атака на карты Visa

Security Week 38: MITM-атака на карты Visa
Уязвимости в кредитных картах встречаются редко: хотя интерес киберпреступников здесь очевиден, сами платежные карты достаточно хорошо защищены. Их безопасность регулярно проверяют уже много лет, а к участникам рынка предъявляют весьма высокие требования. Пожалуй, последнее масштабное мошенничество с кредитками происходило в США, и то из-за устаревшей инфраструктуры, зависящей от ненадежного метода хранения данных на магнитной полосе. Данные кредиток крадут, используют для покупок в Сети и обналичивания, но вот сами карты с чипом взломать не так легко: если PIN-код не написан прямо на украденной карте, скорее всего, воры ничего не получат. Разве что смогут оплатить покупку бесконтактным методом, не требующим PIN-кода. Но тут вступает в силу ограничение на сумму покупки.

60143c95818a69fa79bbdd1a9064bd93.jpeg

Исследователи из Швейцарской высшей технической школы Цюриха нашли уязвимость как раз в способе авторизации бесконтактных платежей, применяемом в платежных картах Visa. Она позволяет выходить за рамки лимита на операции без введения PIN-кода. А это значит, что в случае кражи злоумышленники могут оплатить картой очень дорогой товар.

На PoC-видео заметна интересная деталь: используются два смартфона, один считывает данные с кредитной карты, другой подносится к платежному терминалу. Предполагается, что карту красть даже не обязательно, достаточно удачно приложиться к кредитке в нужный момент. Ранее подобные атаки на систему бесконтактных платежей были попросту непрактичными. Такими они и остаются, но исследование делает их чуть более опасными, чем хотелось бы.


Подробное исследование по теме пока не опубликовали — исследователи обещают представить работу со всеми деталями аж в мае 2021 года. Пока известно следующее: уязвимость заключается в возможности поменять статус платежной карты, который передается при контакте с терминалом. Точнее, статусов два: один сообщает терминалу, что ввод PIN-кода не требуется, второй — что карта авторизована на пользовательском устройстве (например, на смартфоне). Обычно сочетание этих индикаторов приводит к тому, что терминал просит ввести PIN. В сценарии атаки данные с карты считываются смартфоном, передаются на другой смартфон и в процессе модифицируются. Лимит на бесконтактные платежи в Швейцарии составляет 80 швейцарских франков (74 евро на момент публикации). Исследователи провели без авторизации платеж на 200 франков, воспользовавшись обнаруженной уязвимостью.

Скорее всего, уязвимы многие кредитные и дебетовые карты Visa. Также есть вероятность, что подмена статуса возможна на картах систем Discover и Union Pay. Уязвимости не подвержены карты Mastercard (кроме самых ранних бесконтактных), так как там статус, позволяющий обойти необходимость ввода PIN, нельзя изменить на лету. Подвержены ли вообще все карты, или только некоторые, или же определенных банков за какой-то временной период, неизвестно и самим исследователям. Рекомендации простые: не теряйте карту и пользуйтесь кошельком, изолирующим беспроводную радиосвязь. Ладно, кошелек не обязателен, но карту лучше все-таки не терять.

Что еще произошло

Очередной патч для решений Microsoft закрывает 129 уязвимостей, из них 23 критически важных. Одну из самых серьезных проблем обнаружили в сервере Microsoft Exchange. Атакующий может выполнить произвольный код с высшими привилегиями на почтовом сервере, отправив подготовленное сообщение.

В ежемесячном патче для Android закрыли 53 бага, включая очередную дыру в Media Framework.

Пополнение в ряду уязвимостей в протоколе Bluetooth. Баг BLURtooth позволяет без авторизации подключаться к находящимся неподалеку устройствам с Bluetooth 4.0 и 5.0.

Уязвимость в Wordpress-плагине Email Subscribers & Newsletters угрожает сотне тысяч сайтов. Некорректная авторизация позволяет использовать почтовый сервер для рассылки спама.

Интересное развитие темы атак на Office 365: в одной фишинговой кампании заметили механизм валидации данных, которые жертва вводит на поддельном сайте, в режиме реального времени. То есть ваши логин и пароль не только украдут, но еще и вежливо сообщат, если вы допустили опечатку при вводе.

ИБ-исследователи сообщают об атаке на VoIP-шлюзы на базе Linux. Злоумышленники охотятся за историей звонков.

У производителя ноутбуков, игровых ПК и аксессуаров Razer украли данные о 100 000 клиентов.

Разработчики сервиса видеоконференций Zoom внедрили двухфакторную аутентификацию.
emv visa
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.