ПИН-код обычно требуется на кассе при оплате крупной суммы кредитной картой. Исследователи ETH обнаружили недостаток в системе безопасности некоторых кредитных карт.
Кредитные карты, позволяющие осуществлять бесконтактные платежи, чрезвычайно популярны. Небольшие суммы можно списать быстро и легко в кассе, а карты считаются безопасными, поскольку для списания крупных сумм требуется код безопасности .
Большинство этих транзакций основаны на стандарте EMV, который применяется к более чем девяти миллиардам карт по всему миру. Стандарт был разработан в 1990-х годах тремя крупными компаниями Europay, Mastercard и Visa (отсюда и сокращение EMV). Хотя с тех пор он несколько раз пересматривался, сложный набор правил содержит несколько уязвимостей, которые можно использовать.
Систематический поиск слабых мест
Поскольку другие специалисты по безопасности уже нашли ошибки в стандарте, ученые ETH Zurich сообщили о дополнительной серьезной лазейке в безопасности. Исследователи ETH представят свои выводы, которые в настоящее время доступны в виде препринта, на симпозиуме IEEE по безопасности и конфиденциальности в 2021 году.
В качестве первого шага профессор информационной безопасности Дэвид Басин присоединился к Ральфу Сассе, старшему научному сотруднику Департамента компьютерных наук, и Хорхе Торо Позо, постдоку из группы Басина, чтобы разработать специализированную модель, чтобы они могли ближе познакомиться с ней. посмотрите на центральные элементы стандарта EMV. Они обнаружили критический пробел в протоколе, используемом компанией Visa, выпускающей кредитные карты.
Эта уязвимость позволяет мошенникам получать средства с утерянных или украденных карт, хотя предполагается, что суммы должны быть подтверждены путем ввода ПИН-кода. В двух словах Торо говорит об этом: «По сути, PIN-код здесь не действует». Другие компании, такие как Mastercard, American Express и JCB, не используют тот же протокол, что и Visa, поэтому лазейка в системе безопасности на эти карты не распространяется. Однако недостаток может также относиться к картам, выпущенным Discover и UnionPay, которые используют протокол, аналогичный протоколу Visa.
В этом видео показано, как на практике можно реализовать защиту PIN-кодом. Кредит: ETH Zurich
Имитация авторизации
Исследователям удалось продемонстрировать, что на практике можно использовать уязвимость, хотя это довольно сложный процесс. Сначала они разработали приложение для Android и установили его на два мобильных телефона с поддержкой NFC. Это позволило двум устройствам считывать данные с чипа кредитной карты и обмениваться информацией с платежными терминалами. Между прочим, исследователям не пришлось обходить какие-либо специальные функции безопасности в операционной системе Android для установки приложения.
Чтобы получить несанкционированные средства со сторонней кредитной карты, первый мобильный телефон используется для сканирования необходимых данных с кредитной карты и передачи их на второй телефон. Затем второй телефон используется для одновременного списания суммы на кассе, как это делают сейчас многие держатели карт. Поскольку приложение объявляет, что клиент является авторизованным пользователем кредитной карты, поставщик не осознает, что транзакция является мошеннической. Решающим фактором является то, что приложение перехитрит систему безопасности карты. Хотя сумма превышает лимит и требует подтверждения PIN-кода, код не запрашивается.
Успешно протестирован
Используя собственные кредитные карты в различных точках продаж, исследователи смогли показать, что схема мошенничества работает. «Мошенничество работает с дебетовыми и кредитными картами, выпущенными в разных странах и в разных валютах, - говорит Торо. Исследователи уже предупредили Visa об уязвимости, одновременно предложив конкретное решение. «В протокол необходимо внести три изменения, которые затем можно будет установить в платежных терминалах при следующем обновлении программного обеспечения», - поясняет Торо. «Это можно сделать с минимальными усилиями. Нет необходимости заменять карты, и все изменения соответствуют стандарту EMV».
Статья от ZetaLine.ru
