1136 подписчиков

Как обезопасить карту Visa с технологией NFC от атак с использованием смартфона

31 августа 202031 авг 2020

3 мин

Специалисты обнаружили уязвимость, которая позволяет обойти лимит бесконтактных платежей на любой карте Visa с технологией NFC. Обойти лимит бесконтактных платежей карты Visa можно, просто используя два смартфона. В результате хакер может выполнить транзакцию без какой-либо аутентификации. Но... Предупрежден - значит вооружен. Рассмотрим проблему и пути ее решения.

Если у вас есть карта Visa и вы ее потеряли, в любом случае каждый владелец немедленно заблокирует ее. Новая угроза, которая стимулирует вас как можно быстрее добраться до телефона или офиса банка, выдавшего карту, заключается в том, что на данный момент выявлено, что хакер, получивший карту в свои руки, сможет использовать её для осуществления платежей NFC на произвольную сумму без аутентификации. Он сможет очистить счет карты за два шага и три движения. Исследователи в области безопасности из Швейцарского федерального технологического института Цюриха (ETH Zurich) в августе 2020 выявили наличие уязвимости в реализации технологии бесконтактных платежей по банковским картам Visa.

Прежде чем мы подробно рассмотрим уязвимость, нужно знать, что на сегодня существует два ограничения для платежей NFC. Первый - низкоуровневый лимит, обычно до 3000 рублей или 30 евро, и предоставляет возможность оплаты банковской картой с помощью технологии NFC без аутентификации, что удобно при использовании физической карты в терминалах, например, магазина. Второй лимит намного выше, до нескольких тысяч рублей или евро, и применяется при оплате с помощью технологии NFC с аутентификацией. Применяется при оплате смартфоном с использованием технологий распознавания лиц или считывания отпечатков пальцев, например, через Apple Pay или Google Pay.

Исследователи из ETH Zurich обнаружили, что можно изменить определенные данные транзакции платежного протокола и, таким образом, обойти ограничения. Другими словами, специалисты смогли реализовать неаутентифицированные платежи с помощью карты Visa, при этом платежный терминал идентифицировал транзакцию как аутентифицированную; с помощью смартфона. Для этой атаки применялись два смартфона: один имитировал платежный терминал с чужой картой, а другой - имитировал платежную карту вместе с реальным платежным терминалом. Исследователи сделали демонстрационное видео, чтобы доказать возможность этого взлома.

Демо-видео Швейцарского федерального технологического института Цюриха (ETH Zurich)

Хорошая новость для пользователей Visa в том, что этот недостаток можно легко устранить, просто обновив программное обеспечение для платежных терминалов, не меняя при этом свои карты Visa. Что, вероятно, уже и происходит. Но это обновление может занять некоторое время. Так что какое-то время нужно просто немного более тщательно следить за местонахождением своей карты Visa.

Швейцарцы далеко не первые среди исследователей безопасности банковских карт, работающих с технологией NFC: этот недостаток уже выявлялся специализированными лабораториями в декабре 2019 года. Но тогда его появление было достаточно рандомизировано. Атака срабатывала только на определенных картах Visa. Зато было выявлено, что пользователи карты Mastercard могут спать спокойно - их банковские карты вообще не подвержены этой проблеме. В аналитических материалах исследований сделан четкий вывод, что «протокол бесконтактных платежей Mastercard защищает все транзакции на крупные суммы».

Отличным выходом для тех, кто чрезмерно беспокоится о безопасности своих средств, размещенных на банковских картах Visa станет простая смена карты Visa на карту Mastercard (другие карты пока порекомендовать не представляется возможным, так как тестирование их не проводилось).

Мы будем продолжать следить за новостями в сфере информационной безопасности и своевременно рассказывать вам о способах защиты ваших финансовых и экономических ресурсов.

Источник: ETH Zurich