Společnost VISA vydala varování před novým webovým skimmerem JavaScriptu znamým jako Baka, byla odhalena ověřovací chyba v platebních kartách s povoleným EMV, která umožňuje hackerům nezákonně získat finanční prostředky.  PIN bypass útok, který umožňuje v případě ztráty či odcizení karty nákup i bez znalosti PINu karty nebo dokonce obelstít PoS terminál přijetím neautentické transakce offline kartou.

Všechny bezkontaktní karty Visa Credit, Visa Debit, Visa Electron a V Pay jsou ovlivněny touto chybou.

Nastavení navržené výzkumníky ETH však využívá kritickou chybu protokolu k připojení útoku typu man-in-the-middle (MitM) prostřednictvím aplikace pro Android, který „instruuje terminál, že ověření PIN není vyžadováno, protože ověření držitele karty bylo provedeno na zařízení spotřebitele. “ Problém vychází ze skutečnosti, že metoda ověřování držitelů karet (CVM), která se používá k ověření, zda osoba, která se pokouší o transakci kreditní nebo debetní kartou, je legitimním držitelem karty, není kryptograficky chráněna před úpravami.

Vědci dále odhalili druhou chybu zabezpečení, která zahrnuje offline bezkontaktní transakce prováděné buď kartou Visa nebo starou kartou Mastercard, což umožňuje útočníkovi změnit konkrétní část dat zvanou „Application Cryptogram“ (AC) před tím, než je doručena terminál.

Karty offline se obvykle používají k přímé platbě za zboží a služby z bankovního účtu držitele karty, aniž by bylo nutné číslo PIN. Ale protože tyto transakce nejsou připojeny k online systému, existuje zpoždění 24 až 72 hodin, než banka potvrdí legitimitu transakce pomocí kryptogramu, a částka nákupu je odepsána z účtu.

Zločinec může tento mechanismus zpožděného zpracování využít k tomu, aby pomocí své karty provedl transakci s nízkou hodnotou a offline, aniž by mu byly účtovány poplatky, kromě toho, že se zbaví nákupů v době, kdy vydávající banka transakci odmítne kvůli špatnému kryptogramu.

„Jedná se o útok„ obědem zdarma “v tom smyslu, že si zločinec může koupit zboží nebo služby s nízkou hodnotou, aniž by jim byly skutečně účtovány poplatky,“ uvedli vědci a je nepravděpodobné, že by povaha těchto transakcí s nízkou hodnotou byla „atraktivním obchodem“. model pro zločince. “

Útok ukázal, že PIN je pro bezkontaktní transakce Visa zbytečný, odhalil překvapivé rozdíly mezi zabezpečením bezkontaktních platebních protokolů společností Mastercard a Visa, což ukazuje, že Mastercard je bezpečnější. Objevené chyby porušují základní vlastnosti zabezpečení, jako je ověřování a další záruky týkající se přijatých transakcí.