Bezpečnost | NFC | Visa

Zranitelnost platebních karet Visa umožňuje zločincům obejít limit při bezkontaktních platbách

  • Odborníci přišli na to, jak obejít limit bezkontaktních plateb
  • Stačí zařízení, ovlivňující komunikaci mezi kartou a terminálem
  • Stahují se nad bezkontaktními platbami mračna?

Hackeři jsou údajně schopni obejít limit, od kterého je při bezkontaktním placení požadováno dodatečné zabezpečení. Dle informací serveru The Inquirer funguje uvedená metoda s platebními kartami Visa, kde využívá řady bezpečnostních nedostatků.

Experti z bezpečnostní firmy Positive Technologies tvrdí, že nedostatky umožňují kyberzločincům kompromitovat ověřovací limity ve 100 % testovaných případů. Při testování útoku s kartami, vydanými pěti největšími britskými bankami, dokázali Leigh-Anne Galloway a Tim Yunusov bez ohledu na karetní terminál obejít ověřovací limit a také zjistili, že útok je možný i u zahraničních karet a terminálů.

Mračna nad bezkontaktními platbami?

Positive Technologies označují zjištění za významná a poznamenávají, že limity bezkontaktních plateb se používají k ochraně před podvody v případě ztráty nebo odcizení karty. K úspěšnému obejití limitu musejí útočníci při transakci manipulovat s daty (konkrétně dvěma datovými poli) vyměněnými mezi kartou a terminálem.

Za běžných okolností při bezkontaktní platbě nad stanovený limit karta „odpoví“ terminálu, že ji nemůže provést. Následně terminál požádá o ověření držitele karty – nejčastěji požadavkem na zadání PINu, případně o odemknutí telefonu v případě placení mobilem.

Odborníci zjistili, že tyto kontroly lze obejít pomocí zařízení, které „zachycuje komunikaci mezi kartou a platebním terminálem“. Způsob provedení přirovnávají k útokům typu MITM („Man in the middle“), kdy útočník zasahuje do komunikace mezi dvěma stranami. V tomto případě zařízení sdělí kartě, že ověření není nutné, přestože je částka vyšší než limit. Poté sdělí terminálu, že ověření již bylo provedeno jiným způsobem.

Kromě možného útoků na platby přes platební terminál mohou hackeři také použít mobilní peněženky, jako je například GPay, k převzetí kontroly nad kartami Visa a používat je k odcizení až 30 liber (cca 800 Kč) bez nutnosti odemykání telefonu.

Bezpečnost musí být na prvním místě

Positive Technologies v oficiálním prohlášení uvádějí, že objev „zdůrazňuje význam dodatečného zabezpečení ze strany vydávající banky“ a dodává, že „vydavatelé by měli mít zavedená vlastní opatření k detekci a blokování tohoto a dalších způsobů útoků na proces platby“.

Tim Yunusov, šéf oddělení, zabývajícího se bankovní bezpečností, uvedl: „Platební průmysl věří, že bezkontaktní platby jsou chráněny zavedenými zárukami, ale faktem je, že objem podvodů v segmentu bezkontaktních plateb roste.“

Leigh-Anne Galloway z oddělení kybernetické bezpečnosti dodala, že některé terminály vyžadují nahodile kontrolu zadáním PINu i při částkách pod limit. To ale musí naprogramovat obchodník, takže je to zcela na jeho uvážení. „Z tohoto důvodu můžeme očekávat, že podvody s bezkontaktními kartami neustále porostou. Vydavatelé musí vylepšit prosazování svých vlastních pravidel pro platby.“

Diskuze (79) Další článek: „Xi je můj přítel,“ napsal Trump a uvalil cla na zbylý čínský export. Sony zdraží PlayStation, Apple přesune výrobu

Témata článku: , , , , , , , , , , , , , , , , , , , ,