Сигурност

Тестове показват нови уязвимости при безконтактните плащания

Мария Динкова

От компанията за дигитална сигурност Positive Technologies съобщават, че са открили уязвимости, които биха позволили на хакери да заобиколят лимитите при плащанията с безконтактните карти Visa, пише Finextra. Експертите отбелязват, че са тествали атаката с петте основни британски банки и успешно е бил преодолян лимитът от 30 паунда, независимо от използвания терминал.

Атаката работи като се манипулират данните, които се обменят между картата и терминала, когато е необходимо допълнително потвърждение за транзакциите от над 30 паунда.

Експертите от Positive Technologies са използвали устройство, което действа като посредник, за да се изпълни атака тип "човек по средата" (Man-in-the-Middle) като се нарушава комуникацията между картата и EFTPOS терминали. Първоначално устройството изпраща информация към картата, че верификацията не е необходима, макар че сумата е по-висока от 30 паунда. След това устройството съобщава на терминала, че удостоверението вече е дадено по друг начин.

От Positive Technologies обясняват, че атаката е възможна, тъй като Visa не изисква минимална верификация на плащанията от двете страни.

Според UK Finance измамите при картите и устройствата за безконтактни плащания са се увеличи от 6,7 млн. паунда през 2016 до 14 млн. паунда през 2017. 8.4 млн. паунда пък са изгубени при измами с безконтактни транзакции през първата половина на 2018.

"Макар че това е сравнително нов тип измама и може би не е номер едно приоритет за банките в момента, ако лимитите при безконтактните разплащания могат лесно да бъдат заобиколени, това означава, че ще станем свидетели на повече загуби за банките и техните клиенти", коментира Тим Юнусов, ръководител на банкова сигурност в Positive Technologies.

Лий-Ан Галоуей, която отговаря за киберсигурността в Positive Technologies, смята, че тези тестове показват важността от допълнителна сигурност при банките. Според нея финансовите институции не трябва да разчитат на Visa да гарантира сигурен протокол за плащанията, а вместо това те трябва да имат свои собствени мерки за откриване и блокиране на тези и други атаки.

"Банките трябва по-добре да налагат свои собствени правила за безконтактни плащания и да повишат стандартите в индустрията. Престъпниците винаги ще търсят по-удобния начин, за да получат пари бързо, така че трябва да затрудним колкото е възможно повече злоупотребители при безконтактните плащания", допълва Галоуей.

X