Согласно зарубежным прогнозам, к 2026 году более 5,3 миллиарда человек будут использовать цифровые кошельки, такие как Apple Pay, Google Pay и PayPal, для оплаты товаров и услуг. Несмотря на их популярность и предполагаемую безопасность, новое исследование, проведенное учеными из Массачусетского университета в Амхерсте, обнаружило серьезные уязвимости в этих системах. Исследователи утверждают, что удобство, предоставляемое цифровыми кошельками, зачастую ставит безопасность на второй план, что делает пользователей уязвимыми к мошенничеству.
Исследование, возглавляемое доцентом Таки Раза, показало, что существующие методы аутентификации в цифровых кошельках недостаточны для обеспечения безопасности пользователей. В обычной системе работы цифрового кошелька пользователю необходимо ввести номер своей кредитной или дебетовой карты, который затем скрывается при каждой транзакции. Вместо этого используется токен, который передается продавцу и обратно преобразуется в номер карты в банковской системе. Однако, как выяснили исследователи, злоумышленники могут легко обойти этот процесс.
Одной из главных проблем является начальная аутентификация. Если кто-то знает номер карты, он может попытаться выдать себя за владельца. Цифровые кошельки не имеют надежного механизма для проверки, действительно ли пользователь является законным владельцем карты. Это создает серьезные риски, так как мошенники могут добавлять чужие карты в свои кошельки без должной проверки.
Кроме того, после того как карта была украдена, банки блокируют только физические транзакции, оставляя возможность злоумышленникам продолжать использовать цифровые кошельки. Это связано с тем, что банки предполагают, что их системы достаточно безопасны, чтобы предотвратить добавление чужих карт в кошельки. Однако, как показывает практика, это не так.
Исследователи также обнаружили, что даже после замены карты банки не проводят повторную аутентификацию карт, хранящихся в цифровом кошельке. Например, если карта с номером 0123 была украдена и злоумышленник добавил ее в свой кошелек, после замены карты на 4567, виртуальный номер, связанный с этой картой, автоматически переназначается. Это означает, что злоумышленник может продолжать совершать покупки, не проходя повторную проверку.
Исследование также выявило недостаточную ответственность со стороны компаний, занимающихся цифровыми кошельками. Ученые призывают их улучшить координацию и безопасность, чтобы предотвратить подобные инциденты. Многие проблемы возникают из-за новых функций, предлагаемых банками, таких как возможность делиться картой с членами семьи или поддерживать подписки, что может усложнить управление безопасностью.
Раза подчеркивает, что безопасность часто воспринимается как должное, и банки отдают предпочтение удобству, что создает дополнительные риски для пользователей. Несмотря на то, что некоторые уязвимости были устранены, исследователи рекомендуют пользователям следовать лучшим практикам безопасности: включать уведомления о транзакциях, регулярно проверять выписки и следить за устройствами, привязанными к их картам.