
Společnost VISA vydala varování před novým webovým skimmerem JavaScriptu znamým jako Baka, byla odhalena ověřovací chyba v platebních kartách s povoleným EMV, která umožňuje hackerům nezákonně získat finanční prostředky. PIN bypass útok, který umožňuje v případě ztráty či odcizení karty nákup i bez znalosti PINu karty nebo dokonce obelstít PoS terminál přijetím neautentické transakce offline kartou.
Všechny bezkontaktní karty Visa Credit, Visa Debit, Visa Electron a V Pay jsou ovlivněny touto chybou.
Nastavení
navržené výzkumníky ETH však využívá kritickou chybu protokolu k připojení
útoku typu man-in-the-middle (MitM) prostřednictvím aplikace pro Android, který
„instruuje terminál, že ověření PIN není vyžadováno, protože ověření držitele
karty bylo provedeno na zařízení spotřebitele. “ Problém vychází ze
skutečnosti, že metoda ověřování držitelů karet (CVM), která se používá k
ověření, zda osoba, která se pokouší o transakci kreditní nebo debetní kartou,
je legitimním držitelem karty, není kryptograficky chráněna před úpravami.
Vědci dále odhalili druhou chybu zabezpečení, která zahrnuje offline bezkontaktní transakce prováděné buď kartou Visa nebo starou kartou Mastercard, což umožňuje útočníkovi změnit konkrétní část dat zvanou „Application Cryptogram“ (AC) před tím, než je doručena terminál.
Karty offline se obvykle používají k přímé platbě za zboží a služby z
bankovního účtu držitele karty, aniž by bylo nutné číslo PIN. Ale protože
tyto transakce nejsou připojeny k online systému, existuje zpoždění 24 až 72
hodin, než banka potvrdí legitimitu transakce pomocí kryptogramu, a částka
nákupu je odepsána z účtu.
Zločinec může tento mechanismus zpožděného zpracování využít k tomu, aby pomocí
své karty provedl transakci s nízkou hodnotou a offline, aniž by mu byly
účtovány poplatky, kromě toho, že se zbaví nákupů v době, kdy vydávající banka
transakci odmítne kvůli špatnému kryptogramu.
„Jedná se o útok„ obědem zdarma “v tom smyslu, že si zločinec může koupit zboží
nebo služby s nízkou hodnotou, aniž by jim byly skutečně účtovány poplatky,“
uvedli vědci a je nepravděpodobné, že by povaha těchto transakcí s nízkou
hodnotou byla „atraktivním obchodem“. model pro zločince. “
Útok ukázal, že PIN je pro bezkontaktní transakce Visa zbytečný, odhalil
překvapivé rozdíly mezi zabezpečením bezkontaktních platebních protokolů
společností Mastercard a Visa, což ukazuje, že Mastercard je bezpečnější.
Objevené chyby porušují základní vlastnosti zabezpečení, jako je ověřování a
další záruky týkající se přijatých transakcí.
Comments are closed.