COM PLUS SECURITY
  • Úvod
  • Služby
    • Penetrační testy
    • Analýza rizik
    • Bezpečnostní dohled
    • Kurzy a školení
  • GDPR
  • Kontakty
  • Blog
COM PLUS SECURITYStaráme se o bezpečnost Vašich dat
  • Úvod
  • Služby
    • Penetrační testy
    • Analýza rizik
    • Bezpečnostní dohled
    • Kurzy a školení
  • GDPR
  • Kontakty
  • Blog
Chyba u VISA karty, lze obejít ověření PINu u bezkontaktních plateb
  • Nezařazené

Společnost VISA vydala varování před novým webovým skimmerem JavaScriptu znamým jako Baka, byla odhalena ověřovací chyba v platebních kartách s povoleným EMV, která umožňuje hackerům nezákonně získat finanční prostředky.  PIN bypass útok, který umožňuje v případě ztráty či odcizení karty nákup i bez znalosti PINu karty nebo dokonce obelstít PoS terminál přijetím neautentické transakce offline kartou.

Všechny bezkontaktní karty Visa Credit, Visa Debit, Visa Electron a V Pay jsou ovlivněny touto chybou.

Nastavení navržené výzkumníky ETH však využívá kritickou chybu protokolu k připojení útoku typu man-in-the-middle (MitM) prostřednictvím aplikace pro Android, který „instruuje terminál, že ověření PIN není vyžadováno, protože ověření držitele karty bylo provedeno na zařízení spotřebitele. “ Problém vychází ze skutečnosti, že metoda ověřování držitelů karet (CVM), která se používá k ověření, zda osoba, která se pokouší o transakci kreditní nebo debetní kartou, je legitimním držitelem karty, není kryptograficky chráněna před úpravami.

Vědci dále odhalili druhou chybu zabezpečení, která zahrnuje offline bezkontaktní transakce prováděné buď kartou Visa nebo starou kartou Mastercard, což umožňuje útočníkovi změnit konkrétní část dat zvanou „Application Cryptogram“ (AC) před tím, než je doručena terminál.


Karty offline se obvykle používají k přímé platbě za zboží a služby z bankovního účtu držitele karty, aniž by bylo nutné číslo PIN. Ale protože tyto transakce nejsou připojeny k online systému, existuje zpoždění 24 až 72 hodin, než banka potvrdí legitimitu transakce pomocí kryptogramu, a částka nákupu je odepsána z účtu.

Zločinec může tento mechanismus zpožděného zpracování využít k tomu, aby pomocí své karty provedl transakci s nízkou hodnotou a offline, aniž by mu byly účtovány poplatky, kromě toho, že se zbaví nákupů v době, kdy vydávající banka transakci odmítne kvůli špatnému kryptogramu.

„Jedná se o útok„ obědem zdarma “v tom smyslu, že si zločinec může koupit zboží nebo služby s nízkou hodnotou, aniž by jim byly skutečně účtovány poplatky,“ uvedli vědci a je nepravděpodobné, že by povaha těchto transakcí s nízkou hodnotou byla „atraktivním obchodem“. model pro zločince. “

Útok ukázal, že PIN je pro bezkontaktní transakce Visa zbytečný, odhalil překvapivé rozdíly mezi zabezpečením bezkontaktních platebních protokolů společností Mastercard a Visa, což ukazuje, že Mastercard je bezpečnější. Objevené chyby porušují základní vlastnosti zabezpečení, jako je ověřování a další záruky týkající se přijatých transakcí.

Comments are closed.

Nejnovější příspěvky
  • NUKIB upozorňuje na sadu zranitelností týkající se softwaru VMware a platformy VMware vRealize Operations
  • Cisco hacknul gang ransomwaru Yanluowang, údajně ukradeno 2,8 GB
  • Nový špionážní trojský kůň ohrožuje počítače s macOS, komunikuje přes cloudové uložiště a je zaměřen zřejmě pouze na specifické cíle.
  • Populární kryptoměnovou burzu Uniswap zasáhl phishingový útok, útočníci se vydávají za známé kyberbezpečnostní firmy.
  • Národní úřad pro kybernetickou bezpečnost varuje před kyberútoky v době našeho předsednictví v Radě EU.
admin 7. 9. 2020
No Comment
NÚKIB: Za kybernetickým útokem na ministerstvo zahraničí stojí ruská vojenská rozvědka
Kybernetická bezpečnost malých a středních podniků… lidský prvek je stále velkým problémem
COM PLUS CZ a.s.

Outsourcing ICT, kybernetická bezpečnost, penetrační testy, analýza rizik, školení kybernetické bezpečnosti, správa IT, dohledové systémy, telekomunikační řešení, helpdesk, vývoj software, servis.

Naše služby
  • Kurzy a školení
  • Bezpečnostní dohled
  • Analýza rizik
  • Penetrační testy
Aktuality
  • NUKIB upozorňuje na sadu zranitelností týkající se softwaru VMware a platformy VMware vRealize Operations
  • Cisco hacknul gang ransomwaru Yanluowang, údajně ukradeno 2,8 GB
  • Nový špionážní trojský kůň ohrožuje počítače s macOS, komunikuje přes cloudové uložiště a je zaměřen zřejmě pouze na specifické cíle.
  • Populární kryptoměnovou burzu Uniswap zasáhl phishingový útok, útočníci se vydávají za známé kyberbezpečnostní firmy.
  • Národní úřad pro kybernetickou bezpečnost varuje před kyberútoky v době našeho předsednictví v Radě EU.
Kontaktní údaje

COM PLUS CZ a.s.

Nad Krocínkou 317/48
Praha 9, 190 00

IČ: 25772104
DIČ: CZ25772104

bezpecneict@complus.cz

+420 225 103 222

COM PLUS CZ a.s. 2020
Tyto webové stránky využívají cookies k analýze návštěvnosti. Více informací zde. SOUHLASÍM
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Vždy povoleno
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
ULOŽIT A PŘIJMOUT