Как стать автором
Обновить
«Лаборатория Касперского»
Ловим вирусы, исследуем угрозы, спасаем мир

Security Week 35: платежи с украденной кредитки без PIN-кода

Время на прочтение2 мин
Количество просмотров5.3K
На прошлой неделе исследователи из Швейцарской высшей технической школы Цюриха представили на конференции Usenix новое исследование о безопасности платежных карт. Они показали ныне закрытую уязвимость, позволяющую совершать покупки на крупные суммы с карт Mastercard и Maestro.



Сценарий следующий: исследователь прикладывал к украденной карте смартфон, передавал считанные бесконтактным способом данные на другой смартфон, в процессе чего информация с карты слегка модифицировалась. Второе устройство нужно было поднести к платежному терминалу, операция на котором производится без PIN-кода. Экспертам удалось обойти лимит на сумму платежа без подтверждения PIN-кодом и совершить покупку на 400 франков (435 USD). Этот метод использует ранее обнаруженную (и также закрытую) уязвимость для карт Visa. Провести атаку на Mastercard и Maestro удалось благодаря наличию протокола коммуникации, общего для карт разных поставщиков.

О предыдущем исследовании группы мы писали в прошлом году. Уже тогда была разработана система передачи данных с карты на терминал при помощи двух смартфонов. Исследователи передавали информацию с карты без изменений, но меняли статус на «авторизованный» и «не требующий ввода PIN», благодаря чему и удавалось оплатить дорогую покупку без дополнительной авторизации.


А вот так выглядит еще одна атака. В целом все то же самое: нужно поднести к смартфону кредитную карту (на этот раз Maestro), затем информация передается на другой смартфон, а с него — на платежный терминал (использован терминал для малого бизнеса, поэтому в кадре три смартфона). Обе атаки похожи друг на друга. Исследователи выяснили, что Maestro и Mastercard имеют такую же уязвимость, хотя ранее эти карты проверялись и оригинальная атака не сработала. Но так как протокол коммуникации общий, добиться проведения платежа без PIN-кода удалось путем подмены идентификатора Application Identifier.

Иными словами, терминал работал с картой Maestro, думая, что считывает карту Visa, и в такой конфигурации старый метод снова оказался эффективным. К счастью, исследователи подтвердили, что после изменений «на стороне сервера» этот способ больше не действует. Атака также представляет интерес тем, что владелец терминала не может определить мошенническую операцию. С его точки зрения все выглядит, как обычная оплата покупки телефоном.

Что еще произошло


Эксперты «Лаборатории Касперского» анализируют троян, попавший в сборку модифицированного мессенджера Whatsapp, известного как FMWhatsapp.

В Великобритании злоумышленники взломали крупного продавца оружия Guntrader: в открытый доступ попала база данных на 111 000 клиентов-физлиц, включая геолокацию.

Разработчики Samsung могут заблокировать работу любого умного телевизора при подключении к интернету. Об этом стало известно после беспорядков в Южной Америке, когда был разграблен склад техники этого производителя.

Серьезная уязвимость обнаружена в ПО Parallels Desktop: она теоретически могла привести к выполнению произвольного кода. Проблема возникла из-за некорректной работы системы обмена файлами между хостом (MacOS X) и виртуальной ОС (Windows): в версиях до 16-й по умолчанию открывался доступ ко всей папке пользователя, включая данные конфигурации ряда приложений. В Parallels Desktop 17 проблема решена путем предоставления доступа только к папкам типа Desktop, Documents и так далее.

Тринадцать ошибок закрыты в решении BIG-IP компании F5, включая одну, приводящую к полному контролю над системой.
Теги:
Хабы:
Всего голосов 5: ↑5 и ↓0+5
Комментарии3

Публикации

Информация

Сайт
www.kaspersky.ru
Дата регистрации
Дата основания
Численность
5 001–10 000 человек
Местоположение
Россия