Bezpečnost | NFC | Visa

Zranitelnost platebních karet Visa umožňuje zločincům obejít limit při bezkontaktních platbách

  • Odborníci přišli na to, jak obejít limit bezkontaktních plateb
  • Stačí zařízení, ovlivňující komunikaci mezi kartou a terminálem
  • Stahují se nad bezkontaktními platbami mračna?

Hackeři jsou údajně schopni obejít limit, od kterého je při bezkontaktním placení požadováno dodatečné zabezpečení. Dle informací serveru The Inquirer funguje uvedená metoda s platebními kartami Visa, kde využívá řady bezpečnostních nedostatků.

Experti z bezpečnostní firmy Positive Technologies tvrdí, že nedostatky umožňují kyberzločincům kompromitovat ověřovací limity ve 100 % testovaných případů. Při testování útoku s kartami, vydanými pěti největšími britskými bankami, dokázali Leigh-Anne Galloway a Tim Yunusov bez ohledu na karetní terminál obejít ověřovací limit a také zjistili, že útok je možný i u zahraničních karet a terminálů.

Mračna nad bezkontaktními platbami?

Positive Technologies označují zjištění za významná a poznamenávají, že limity bezkontaktních plateb se používají k ochraně před podvody v případě ztráty nebo odcizení karty. K úspěšnému obejití limitu musejí útočníci při transakci manipulovat s daty (konkrétně dvěma datovými poli) vyměněnými mezi kartou a terminálem.

Za běžných okolností při bezkontaktní platbě nad stanovený limit karta „odpoví“ terminálu, že ji nemůže provést. Následně terminál požádá o ověření držitele karty – nejčastěji požadavkem na zadání PINu, případně o odemknutí telefonu v případě placení mobilem.

Odborníci zjistili, že tyto kontroly lze obejít pomocí zařízení, které „zachycuje komunikaci mezi kartou a platebním terminálem“. Způsob provedení přirovnávají k útokům typu MITM („Man in the middle“), kdy útočník zasahuje do komunikace mezi dvěma stranami. V tomto případě zařízení sdělí kartě, že ověření není nutné, přestože je částka vyšší než limit. Poté sdělí terminálu, že ověření již bylo provedeno jiným způsobem.

Kromě možného útoků na platby přes platební terminál mohou hackeři také použít mobilní peněženky, jako je například GPay, k převzetí kontroly nad kartami Visa a používat je k odcizení až 30 liber (cca 800 Kč) bez nutnosti odemykání telefonu.

Bezpečnost musí být na prvním místě

Positive Technologies v oficiálním prohlášení uvádějí, že objev „zdůrazňuje význam dodatečného zabezpečení ze strany vydávající banky“ a dodává, že „vydavatelé by měli mít zavedená vlastní opatření k detekci a blokování tohoto a dalších způsobů útoků na proces platby“.

Tim Yunusov, šéf oddělení, zabývajícího se bankovní bezpečností, uvedl: „Platební průmysl věří, že bezkontaktní platby jsou chráněny zavedenými zárukami, ale faktem je, že objem podvodů v segmentu bezkontaktních plateb roste.“

Leigh-Anne Galloway z oddělení kybernetické bezpečnosti dodala, že některé terminály vyžadují nahodile kontrolu zadáním PINu i při částkách pod limit. To ale musí naprogramovat obchodník, takže je to zcela na jeho uvážení. „Z tohoto důvodu můžeme očekávat, že podvody s bezkontaktními kartami neustále porostou. Vydavatelé musí vylepšit prosazování svých vlastních pravidel pro platby.“

Diskuze (71) Další článek: „Xi je můj přítel,“ napsal Trump a uvalil cla na zbylý čínský export. Sony zdraží PlayStation, Apple přesune výrobu

Témata článku: Bezpečnost, Peníze, NFC, Velká Británie, Placení mobilem, Visa, Galloway, Platba, Zranitelnost, The Inquirer, Bezkontaktní platba, Man in the middle, Ověření, Limit, Pin, Terminál, Positive Technologies, Platební karta, Mračno


Určitě si přečtěte

Windows 10 černé, nebo bílé? Rozhodněte, zda je hezčí černý motiv, nebo nový světlý

Windows 10 černé, nebo bílé? Rozhodněte, zda je hezčí černý motiv, nebo nový světlý

** Do Windows míří bílé téma a přebarví se spodní lišta i Start ** Od minulého roku má ale i téma tmavé. ** Jaké z těchto dvou je ale to hezčí?

Vladislav Kluska | 71

13 praktických tipů a triků pro Mapy.cz, které možná neznáte

13 praktických tipů a triků pro Mapy.cz, které možná neznáte

** Mapy.cz neslouží jen k zobrazení podkladů a plánování tras ** Nabízejí celou řadu dalších praktických funkcí a možností ** Vybrali jsme třináct tipů a triků, o kterých možná (ne)víte

Karel Kilián | 28

Při tragické nehodě Tesly Model 3 byl zapnutý autopilot. Neudělal nic, ukázalo vyšetřování

Při tragické nehodě Tesly Model 3 byl zapnutý autopilot. Neudělal nic, ukázalo vyšetřování

** V březnu došlo k tragické nehodě Tesly Model 3 ** NTSB vydala předběžnou vyšetřovací zprávu ** V okamžiku havárie jel vůz v režimu Autopilota

Karel Kilián | 123

Šmírování kamerami Googlu: Koukněte, co nového se objevilo na Street View

Šmírování kamerami Googlu: Koukněte, co nového se objevilo na Street View

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 6



Aktuální číslo časopisu Computer

Velký test Wi-Fi mesh

Nejlepší hodinky pro všechny aktivity

Důležité aplikace na cesty

Jak streamovat video na Twitch