Visa дает возможность злоумышленникам при бесконтактной оплате обойти лимит. Такое сообщение сделано исследователями Positive Technologies Ли-Энн Гэллоуэй и Тим Юнусов. Ими были протестированы такие атаки на пяти наиболее крупных банках Великобритании. В этой стране максимальной суммой, которой можно расплатиться без верификации, является 30 фунтов. Как оказалось, специалисты сумели обойти такие ограничения, используя карту Visa.
Какой конкретно терминал использован для операции – не важно. Атаки экспертов приносили нужным им результаты. Мало того, по их заверению обход суммы лимита возможен и за пределами Великобритании.
Результаты исследований можно назвать важным открытием. Банками ограничения устанавливаются не зря. Такие меры нужны для борьбы с угрозой несанкционированных списаний денег.
Специалисты Positive Technologies проводили свою атаку, используя манипуляции с двумя полями данных. Ими при бесконтактной оплате обмениваются терминал и карта. При проверке суммы, когда она превышает 30 фунтов, используется процесс верификации. Клиент должен подтвердить списания средств. Для этого вводится PIN-код или сканируются отпечаток пальца.
Как заверили исследователи, обе проверки можно обойти, воспользовавшись устройством, перехватывающим коммуникацию между бесконтактными картами и терминалом. Устройство работает как прокси, осуществляя атаку «человек посередине». Дейвайс сообщает терминалу, что в верификации нет надобности, делая это в случае, даже когда суммы более 30 фунтов.
Затем устройство сообщает терминалу, что верификация проведена иным способом. При этом Visa не требует проверки, блокирующей оплату без подтверждения. Атака оказывается успешной и с системами электронных платежей вроде GPay.