Forwarded from surfIT | Новости IT
Обход PIN-кода для бесконтактных платежей Mastercard и Visa
Группа исследователей из швейцарского университета обнаружила способ обхода PIN-кода на картах Mastercard и Visa с бесконтактной оплатой. Уязвимость позволяла злоумышленникам использовать украденные карты для оплаты товаров без необходимости вводить PIN-код при бесконтактных платежах.
Общая идея атаки заключается в том, чтобы злоумышленник вмешался в процесс обмена данными между картой и терминалом продавца, что обычно называют сценарием MitM (Man in the middle).
Для осуществления атаки злоумышленнику потребуется: карта, два смартфона Android с установленным приложением для подмены полей транзакции: один смартфон помещается рядом с украденной картой и работает как эмулятор PoS, заставляя карту инициировать транзакцию и поделиться своими данными, а второй смартфон работает как эмулятор карты и используется мошенником для передачи измененных данных транзакции на реальный терминал PoS в магазине.
С точки зрения оператора PoS, атака выглядит так, будто клиент расплачивается с помощью их мобильного приложения, но на самом деле мошенник передает измененные данные о транзакции, полученные с украденной карты.
Эксперты заявили, что сообщили об ошибке как Visa, так и Mastercard. Mastercard внесла исправления в свою систему в начале этого года, но Visa, похоже, не решила эту проблему.
Источник
#infosec #visa #mastercard #payment
Группа исследователей из швейцарского университета обнаружила способ обхода PIN-кода на картах Mastercard и Visa с бесконтактной оплатой. Уязвимость позволяла злоумышленникам использовать украденные карты для оплаты товаров без необходимости вводить PIN-код при бесконтактных платежах.
Общая идея атаки заключается в том, чтобы злоумышленник вмешался в процесс обмена данными между картой и терминалом продавца, что обычно называют сценарием MitM (Man in the middle).
Для осуществления атаки злоумышленнику потребуется: карта, два смартфона Android с установленным приложением для подмены полей транзакции: один смартфон помещается рядом с украденной картой и работает как эмулятор PoS, заставляя карту инициировать транзакцию и поделиться своими данными, а второй смартфон работает как эмулятор карты и используется мошенником для передачи измененных данных транзакции на реальный терминал PoS в магазине.
С точки зрения оператора PoS, атака выглядит так, будто клиент расплачивается с помощью их мобильного приложения, но на самом деле мошенник передает измененные данные о транзакции, полученные с украденной карты.
Эксперты заявили, что сообщили об ошибке как Visa, так и Mastercard. Mastercard внесла исправления в свою систему в начале этого года, но Visa, похоже, не решила эту проблему.
Источник
#infosec #visa #mastercard #payment