Security Week 38: MITM-атака на карты Visa

Уязвимости в кредитных картах встречаются редко: хотя интерес киберпреступников здесь очевиден, сами платежные карты достаточно хорошо защищены. Их безопасность регулярно проверяют уже много лет, а к участникам рынка предъявляют весьма высокие требования. Пожалуй, последнее масштабное мошенничество с кредитками происходило в США, и то из-за устаревшей инфраструктуры, зависящей от ненадежного метода хранения данных на магнитной полосе. Данные кредиток крадут, используют для покупок в Сети и обналичивания, но вот сами карты с чипом взломать не так легко: если PIN-код не написан прямо на украденной карте, скорее всего, воры ничего не получат. Разве что смогут оплатить покупку бесконтактным методом, не требующим PIN-кода. Но тут вступает в силу ограничение на сумму покупки. Исследователи из Швейцарской высшей технической школы Цюриханашли уязвимость как раз в способе авторизации бесконтактных платежей, применяемом в платежных картах Visa. Она позволяет выходить за рамки лимита на операции без введения PIN-кода. А это значит, что в случае кражи злоумышленники могут оплатить картой очень дорогой товар. На PoC-видео заметна интересная деталь: используются два смартфона, один считывает данные с кредитной карты, другой подносится к платежному терминалу. Предполагается, что карту красть даже не обязательно, достаточно удачно приложиться к кредитке в нужный момент. Ранее подобные атаки на систему бесконтактных платежей были попросту непрактичными. Такими они и остаются, но исследование делает их чуть более опасными, чем хотелось бы. Читать дальше →

Источник: Хабрахабр