Mastercard ispravio propuste, a Visa i dalje ne rešava problem moguće zloupotrebe ukradenih beskontaktnih kartica

Vesti, 31.08.2021, 11:00 AM

Mastercard ispravio propuste, a Visa i dalje ne rešava problem moguće zloupotrebe ukradenih beskontaktnih kartica

Tim naučnika sa Univerziteta ETH u Cirihu pronašao je način da se zaobiđu PIN kodovi na beskontaktnim karticama Mastercard i Maestro.

Ranjivost koja je sada zakrpljena, omogućila bi sajber kriminalcima da koriste ukradene Mastercard i Maestro kartice za plaćanje skupih proizvoda, a da ne moraju da unose PIN kodove za beskontaktno plaćanje.

Napad bi se mogao lako primeniti u realnom životu ako se otkriju nove greške u beskontaktnim protokolima.

Ideja koja stoji iza napada koji su istraživači opisali kao “čovek u sredini” (Man-in-the-Middle, MitM) je da se napadač umeša između ukradene kartice i PoS terminala. Da bi to postigao, napadaču je potrebna ukradena kartica, dva Android pametna telefona i prilagođena Android aplikacija.

Aplikacija je instalirana na oba pametna telefona, koji služe kao emulatori. Jedan pametni telefon se postavlja u blizini ukradene kartice i delovaće kao PoS emulator, koji treba da prevari karticu da pokrene transakciju i podeli podatke, dok će drugi pametni telefon delovati kao emulator kartice i prevarant će ga koristiti za dostavljanje izmenjenih detalja transakcije PoS terminalu u prodavnici.

Sa tačke gledišta PoS operatera, napad izgleda kao da klijent plaća svojom aplikacijom za mobilno plaćanje, ali u stvarnosti prevarant šalje izmenjene detalje transakcije dobijene sa ukradene kartice.

Naučnici su istu ovu šemu napada koristili prošle godine kada su otkrili način da se zaobiđu PIN-ovi za beskontaktno plaćanje Visa karticama.

Napad, opisan u naučnom radu objavljenom u septembru 2020. godine, omogućio je istraživačima da presretnu Visa podatke o beskontaktnom plaćanju, a zatim izmene detalje transakcije da bi se PoS terminal prevario da su PIN i identitet vlasnika kartice već verifikovani i potvrđeni na uređaju, zbog čega PoS nije morao da vrši ove provere.

Iako se činilo da je napad isuviše dobar da bi bio istinit, istraživači su rekli da su ga uspešno testirali sa karticama Visa Credit, Visa Debit, Visa Electron i V Pay u stvarnom svetu kako bi izvršili transakcije od 200 švajcarskih franaka, što je iznad ograničenja za PIN za švajcarske banke .

Međutim, tim naučnika iz Ciriha nastavio je istraživanje i usredsredio se na zaobilaženje PIN-a na drugim vrstama kartica koje nisu koristile Visa protokol beskontaktnog plaćanja.

U naučnom radu objavljenom u februaru i predstavljenom ovog meseca na USENIX konferenciji o bezbednosti, istraživački tim je rekao da je otkrio sličan problem sa beskontaktnim plaćanjem i sa Mastercard i Maestro karticama.

Razlika u ovom napadu je u tome što umesto da kažu PoS terminalu da je PIN već verifikovan, istraživači bi prevarili PoS terminal da pomisli da transakcija dolazi sa Visa kartice umesto sa Mastercard/Maestro kartice modifikujući Identifikator aplikacije (AID) legitimne kartice sa AID Visa kartice: A0000000031010. Napadač zapravo izvodi “Visa napad” od prošle godine i plaća proizvod bez navođenja PIN-a.

Istraživači su rekli da su uspešno testirali ovaj napad Mastercard Credit i Maestro karticama, sa transakcijama do 400 švajcarskih franaka.

Oni su objavili i video koji prikazuje koliko je lak i brz napad i kako zaposleni u prodavnicama nemaju šanse da razlikuju prevaranta koji koristi ovu tehniku od legitimnog kupca koji plaća svojim pametnim telefonom.

Istraživački tim je rekao da je o svom istraživanju obavestio i Visa i Mastercard, u čijem je vlasništvu brend Maestro.

Mastercard je ranije ove godine ispravio ove propuste, ali izgleda da Visa još uvek nije rešila ovaj problem.

Naučnici su rekli da neće objaviti svoju Android aplikaciju koju su koristili za ove napade kako bi se sprečila njena zloupotreba.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakovan OpenSubtitles, ukradeni podaci 7 miliona korisnika

Hakovan OpenSubtitles, ukradeni podaci 7 miliona korisnika

OpenSubtitles, popularni veb sajt na kome možete naći titlove za filmove, objavio je da je hakovan prošle godine i da je posle napada plaćena otk... Dalje

Microsoft Edge dobija novu zaštitu od hakerskih napada

Microsoft Edge dobija novu zaštitu od hakerskih napada

Microsoft je dodao Edgeu novu funkciju koja je dostupna na beta kanalu a koja će ublažiti eksploataciju nepoznatih ranjivosti. Nova funkcija je deo... Dalje

Nova godina nije počela dobro za sajber kriminalce: ugašen VPN koji je korišćen za širenje ransomwarea

Nova godina nije počela dobro za sajber kriminalce: ugašen VPN koji je korišćen za širenje ransomwarea

VPNLab.net koji su sajber kriminalci koristili za distribuciju ransomwarea i malvera, i ali i za druge kriminalne aktivnosti uklonjen je sa mreže 17.... Dalje

Telegram postao ''sigurna kuća'' za sajber kriminalce koji prodaju ukradene platne kartice

Telegram postao ''sigurna kuća'' za sajber kriminalce koji prodaju ukradene platne kartice

Sajber kriminalci sve više zloupotrebljavaju Telegram za prodaju ukradenih finansijskih podataka anonimnim korisnicima aplikacije, kažu istraživač... Dalje

Safari ima bag koji može otkriti vaše lične podatke i ono što pretražujete

Safari ima bag koji može otkriti vaše lične podatke i ono što pretražujete

Zbog greške u Safariju 15 može doći do curenja informacija o pretraživanju, a takođe i nekih od ličnih podataka povezanih sa korisnikovim Google... Dalje