Обнаружен новый способ кражи денег с бесконтактных карт Visa

Обнаружен новый способ кражи денег с бесконтактных карт Visa

В реальной жизни обнаруженная уязвимость неопасна, поскольку у мошенников редко оказываются на руках чужие карты, считает Visa.

image

Эксперты по кибербезопасности из компании Positive Technologies обнаружили уязвимость, эксплуатация которой позволяет злоумышленникам обойти ограничение на списание крупных сумм бесконтактным способом с карт Visa.

Обычно бесконтактные карты не позволяют провести оплату большой суммы без PIN-кода. Например, пользователям в Великобритании необходимо вводить PIN-код при покупке от £30 (примерно 2300 рублей). Если преступники украдут карту и попытаются провести несколько транзакций на большие суммы, то банк заблокирует карту.

По словам экспертов из Positive Technologies, существует два способа обойти это ограничение. В первом случае они воспользовались аппаратом для перехвата и замены сообщений в канале связи между картой и считывающим устройством. С его помощью на карту посылался ложный сигнал о списании суммы менее £30, а на терминал — сообщение о верификации, проведенной другим способом. Данная уязвимость затрагивает только карты Visa, поскольку в других платежных системах большие транзакции подтверждаются только PIN-кодом.

Во втором варианте исследователи использовали два мобильных телефона. Один телефон собирал с карты так называемую криптограмму платежа, гарантирующую подлинность будущих транзакций. Второй — принимал криптограмму и имитировал карту.

Компания Visa не планирует принимать меры по пресечению данных видов мошенничества. По мнению компании, для осуществления махинации злоумышленникам необходимо иметь карту на руках, а такое редко случается. Однако исследователи не согласны с тем, что карту нужно обязательно красть. Как показали результаты эксперимента, злоумышленнику достаточно ненадолго подобраться близко к карте жертвы и считать платеж.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle