Токены-призраки: заблокированные карты продолжают работать в Apple Pay и Google Pay

Токены-призраки: заблокированные карты продолжают работать в Apple Pay и Google Pay

Блокировка карты больше не означает безопасность.

image

Группа исследователей безопасности выявила уязвимости в системах Apple Pay, Google Pay и PayPal, которые позволяют использовать украденные и аннулированные платежные карты для проведения транзакций. Исследование было представлено на конференции Usenix Security 2024.

Эксперты проанализировали критические недостатки в механизмах аутентификации, авторизации и контроля доступа в основных приложениях цифровых кошельков и банках США. Найденные ошибки позволяют злоумышленникам добавлять украденные карты в свои цифровые кошельки и совершать несанкционированные транзакции, даже если карта была аннулирована или заменена.

Например, мошенник может использовать данные украденной кредитной карты (имя владельца и адрес), и добавлять карту в различные цифровые кошельки. Разные кошельки используют разные методы аутентификации, и те из них, которые требуют только адрес или почтовый индекс, становятся лёгкой целью для киберпреступников.

Если владелец карты блокирует или перевыпускает её, злоумышленник всё ещё может использовать карту в своём кошельке для транзакций. Такая ситуация возможна, потому что после добавления карты в цифровой кошелёк банк выдаёт токен, который позволяет совершать покупки и хранится в кошельке. Токен не обновляется после замены карты, а привязывается к новой карте, что позволяет продолжать покупки с использованием старого токена.

Исследователи также выяснили, что многие банки допускают использование менее надёжных методов аутентификации, таких как аутентификация на основе знаний (knowledge-based authentication, KBA), вместо более безопасных – многофакторная аутентификация (multi-factor authentication, MFA). Это позволяет мошеннику обойти более строгие меры безопасности, выбрав опцию KBA, которая часто включает в себя проверку по дате рождения и последним четырём цифрам номера социального страхования (social security number, SSN)

Получение такой информации возможно благодаря публичным базам данных и утечкам персональных данных. Недавние утечки номеров социального страхования демонстрируют, насколько легко можно получить информацию для такой проверки.

В ходе экспериментов исследователи смогли успешно использовать заблокированные карты для приобретения подарочных карт и электроники, а также оформить ежемесячные подписки. Злоумышленники даже могут включить автоплатеж, чтобы проводить транзакции даже с заблокированных карт. Банки, стремясь избежать пропущенных платежей и связанных с этим негативных последствий для клиентов, позволяют такие транзакции.

Исследователи сообщили о своих выводах банкам США и поставщикам цифровых кошельков в апреле 2023 года. На момент публикации исследования Google сотрудничает с банками для устранения выявленных проблем в Google Pay. Chase и Citi также заявили, что уязвимости больше не актуальны. Однако Apple, PayPal и другие компании пока не дали комментариев.

Авторы исследования рекомендуют несколько мер для повышения безопасности: использовать push-уведомления вместо одноразовых паролей, применять непрерывную аутентификацию при управлении токенами, а также проверять корректность меток для повторяющихся транзакций.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение