Авторизация

 
  •  Для поклонников «Игры престолов» выпустят коллекционное вино 
  •  Украинцы не готовы проголосовать за особый статус Донбасса, - опрос 
  •  Вашингтон ограничивает передвижение по США российских дипломатов 
  •  Brent пытается удержаться выше $53 за баррель 

Как украсть миллион, не прикасаясь к банковской карте (об уязвимости Visa)

  • 04.11.2014, 14:59,
  • 0

На проходящей до конца недели в штате Аризона конференции по безопасности компьютерных систем и средств связи CCS 2014 был представлен доклад о серьёзной уязвимости новых банковских карт VISA. Она касается функции быстрого списания малых сумм без необходимости их подтверждения.

По замыслу разработчиков такие платежи должны выполняться с помощью коммуникации ближнего поля буквально в одно касание и не требовать ввода пин-кода, облегчая жизнь состоятельному владельцу. Однако автор доклада Мартин Эммс (Martin Emms) выяснил, что установленный лимит в двадцать фунтов не действует для других валют. С учётом функции автоматического пересчёта курсов, реальная сумма перевода ограничивается только техническим пределом адресации – 999999,99 в любых денежных единицах.

Мартин собирает материал для докторской диссертации в Центре по изучению киберпреступности и компьютерной безопасности (CCCS) Университета Ньюкасла. Его исследование фокусируется на поиске потенциальных уязвимостей в бесконтактных платежных системах с использованием технологии NFC.

Группа Мартина смогла сымитировать POS-терминал с помощью серийно выпускаемых мобильных устройств с поддержкой NFC. В своей работе исследователи показали, что для незаметного списания с карты почти миллиона в любой валюте (кроме фунта стерлингов), похитителям не требуется даже брать её в руки. Достаточно находиться рядом и просто махнуть смартфоном с запущенной программой-эмулятором.

Как украсть миллион, не прикасаясь к банковской карте (об уязвимости Visa)

«Используя обычный смартфон мы смогли создать эмулятор платёжного терминала, который считывает карту прямо через бумажник, – говорит Мартин. – Все процедуры проверки в данном случае выполняются на самой карте, поэтому к терминалу не предъявляется никаких специфических требований. Процесс списания выглядит совершенно легитимным и не вызывает подозрений. Вы просто вводите желаемую сумму для перевода и направляете смартфон на чей-то карман. В наших тестах вся процедура от ввода значения до подтверждения перевода занимала секунды».

Пока не сообщается о реальных случаях кражи средств с бесконтактных карт при помощи найденной уязвимости, однако её устранение займёт некоторое время, в течение которого владельцам таких карт VISA следует быть особенно осторожными и почаще контролировать свои расходы.

Банковские системы безопасности не опираются только на технические средства. Помимо систем мониторинга транзакций большое значение для их стабильной работы имеют общие правила предоставления услуг. К примеру, автоматический запрос на перевод крупной суммы может потребовать дополнительной ручной проверки – вплоть до звонка клиенту.

В то же время, списывать деньги с карты преступники могут и малыми суммами при помощи методов, основанных на социальном инжиниринге и технических модификациях. Первый вариант требует физического присутствия рядом с жертвой в любом людном месте, где предполагается безналичная оплата. Также можно просто найти предлог, под которым жертва потянулась бы к своему бумажнику, демаскируя его положение. Многие хранят в них фотографии, карты лояльности, парковочные талоны… поводов заставить открыть его хоть отбавляй.

Первые бесконтактные карты были представлены на выставке в Сеуле ещё в 1995 году. Однако в международные платёжные системы они стали внедряться только спустя десять лет. Из повседневного опыта многие знают, что на практике бесконтактные карты часто требуется поднести вплотную к считывателю для повышения качества связи и скорости передачи данных. Однако по стандарту ISO/IEC 18092:2013 протокол NFCIP 1 позволяет выполнять бесконтактный обмен на расстоянии до двадцати сантиметров.

Альтернативный стандарт ISO/IEC 15693 предусматривает взаимодействие уже на расстоянии до полуметра. Это значит, что даже без дополнительных ухищрений незаметную кражу можно выполнить и в тех случаях, когда владелец не достаёт карту. Присесть или встать рядом с жертвой так, чтобы её сумка или внутренний карман оказались как можно ближе на пару секунд – что может быть проще?

Дополнительно атаки могут развиваться в сторону увеличения радиуса действия. Для этого потребуется модифицировать устройство, имитирующее POS-терминал. Например, изготовив рамочную антенну с большим коэффициентом усиления или повысив магнитную индукцию за счёт эффекта резонанса. «Если мы догадались, как сделать это, то злоумышленники тоже смогут», – резюмирует свой доклад Мартин.

ЧИТАЙТЕ ТАКЖЕ:
Оставить комментарий
Видео дня
Новости
  • Последние
  • Читаемое
  • Комментируют
Календарь публикаций
«    Декабрь 2016    »
ПнВтСрЧтПтСбВс
 1234
567891011
12131415161718
19202122232425
262728293031