Используя «слабые места», мошенники теперь могут пользоваться похищенными картами этих систем, чтобы оплачивать дорогостоящие покупки.
Швейцарские исследователи установили новую методику, позволяющую обходить пин-коды на картах MasterCard и Maestro при бесконтактных платежах без введения пин-кода.
Чтобы организовать MitM-атаки (Man in the Middle), похитителю нужна сама похищенная карта, два смартфона на ОС Андроид и специальное программное обеспечение, способное проникать в поля транзакции. Это ПО устанавливается на оба используемые в схеме телефона-эмулятора. Первый из них задействуется вблизи похищенной карты и выполняет функцию терминала PoS, вынуждая карту запустить транзакционный процесс и демонстрировать при этом свои данные. В то же время второй смартфон берет на себя роль непосредственно эмуляторы этой «прочитанной» первым карты, чтобы направлять искаженные данные транзакции в настоящий терминал PoS определенного магазина.
Терминал PoS продавца наблюдает штатную платежную операцию с карты его покупателя через мобильное платежное приложение – но по сути похититель показывает ему фальсифицированные данные, прежде считанные с похищенной карты.
Швейцарские исследователи реализовали такой алгоритм атаки еще в 2020 году и выявили данный метод обхода пин-кода, чтобы бесконтактно расплачиваться картами Visa. После этого подобные эксперименты были проведены с картами иных платежных систем и выяснилось, что таким же путем можно оплачивать бесконтактные покупки также картами MasterCard и Maestro. Но при использовании карты двух последних систем ученые смогли заставить терминал PoS принять входящую транзакцию якобы по системе Visa.
В ходе экспериментального платежа швейцарские ученые таким образом смогли успешно перевести достаточно немалую сумму 439 долларов.
MasterCard уже распространил специальную заплатку для устранения этой уязвимости, но платежная система Visa, похоже, до сих пор не решила эту проблему.
