Bezpečnost | NFC | Visa

Zranitelnost platebních karet Visa umožňuje zločincům obejít limit při bezkontaktních platbách

  • Odborníci přišli na to, jak obejít limit bezkontaktních plateb
  • Stačí zařízení, ovlivňující komunikaci mezi kartou a terminálem
  • Stahují se nad bezkontaktními platbami mračna?

Hackeři jsou údajně schopni obejít limit, od kterého je při bezkontaktním placení požadováno dodatečné zabezpečení. Dle informací serveru The Inquirer funguje uvedená metoda s platebními kartami Visa, kde využívá řady bezpečnostních nedostatků.

Experti z bezpečnostní firmy Positive Technologies tvrdí, že nedostatky umožňují kyberzločincům kompromitovat ověřovací limity ve 100 % testovaných případů. Při testování útoku s kartami, vydanými pěti největšími britskými bankami, dokázali Leigh-Anne Galloway a Tim Yunusov bez ohledu na karetní terminál obejít ověřovací limit a také zjistili, že útok je možný i u zahraničních karet a terminálů.

Mračna nad bezkontaktními platbami?

Positive Technologies označují zjištění za významná a poznamenávají, že limity bezkontaktních plateb se používají k ochraně před podvody v případě ztráty nebo odcizení karty. K úspěšnému obejití limitu musejí útočníci při transakci manipulovat s daty (konkrétně dvěma datovými poli) vyměněnými mezi kartou a terminálem.

Za běžných okolností při bezkontaktní platbě nad stanovený limit karta „odpoví“ terminálu, že ji nemůže provést. Následně terminál požádá o ověření držitele karty – nejčastěji požadavkem na zadání PINu, případně o odemknutí telefonu v případě placení mobilem.

Odborníci zjistili, že tyto kontroly lze obejít pomocí zařízení, které „zachycuje komunikaci mezi kartou a platebním terminálem“. Způsob provedení přirovnávají k útokům typu MITM („Man in the middle“), kdy útočník zasahuje do komunikace mezi dvěma stranami. V tomto případě zařízení sdělí kartě, že ověření není nutné, přestože je částka vyšší než limit. Poté sdělí terminálu, že ověření již bylo provedeno jiným způsobem.

Kromě možného útoků na platby přes platební terminál mohou hackeři také použít mobilní peněženky, jako je například GPay, k převzetí kontroly nad kartami Visa a používat je k odcizení až 30 liber (cca 800 Kč) bez nutnosti odemykání telefonu.

Bezpečnost musí být na prvním místě

Positive Technologies v oficiálním prohlášení uvádějí, že objev „zdůrazňuje význam dodatečného zabezpečení ze strany vydávající banky“ a dodává, že „vydavatelé by měli mít zavedená vlastní opatření k detekci a blokování tohoto a dalších způsobů útoků na proces platby“.

Tim Yunusov, šéf oddělení, zabývajícího se bankovní bezpečností, uvedl: „Platební průmysl věří, že bezkontaktní platby jsou chráněny zavedenými zárukami, ale faktem je, že objem podvodů v segmentu bezkontaktních plateb roste.“

Leigh-Anne Galloway z oddělení kybernetické bezpečnosti dodala, že některé terminály vyžadují nahodile kontrolu zadáním PINu i při částkách pod limit. To ale musí naprogramovat obchodník, takže je to zcela na jeho uvážení. „Z tohoto důvodu můžeme očekávat, že podvody s bezkontaktními kartami neustále porostou. Vydavatelé musí vylepšit prosazování svých vlastních pravidel pro platby.“

Diskuze (71) Další článek: „Xi je můj přítel,“ napsal Trump a uvalil cla na zbylý čínský export. Sony zdraží PlayStation, Apple přesune výrobu

Témata článku: Bezpečnost, Peníze, NFC, Velká Británie, Placení mobilem, Visa, Platba, Terminál, Ověření, Pin, Platební karta, Mračno, Galloway, Bezkontaktní platba, The Inquirer, Positive Technologies, Man in the middle, Zranitelnost, Limit


Určitě si přečtěte

Kdyby měli železničáři tento superpočítač za 99 dolarů, nepotřebovali by lasery

Kdyby měli železničáři tento superpočítač za 99 dolarů, nepotřebovali by lasery

** Nejmodernější český železniční tunel je prošpikovaný technologiemi ** Za tři tisíce koupíte počítač, který je překoná ** Seznamte se s Nvidia Jetson Nano

Jakub Čížek | 47

Raspberry Pi 4 Model B: Raketa za tisícikorunu, která utáhne dva monitory

Raspberry Pi 4 Model B: Raketa za tisícikorunu, která utáhne dva monitory

** Britové před pár dny představili nové Raspberry Pi 4 Model B ** Nový čipset má dost výkonu na dva HDMI monitory ** Za tisícovku získáte počítač na základní práci

Jakub Čížek | 79

Je ta fotka černobílá, nebo barevná? Náš mozek realitu pouze odhaduje a vymýšlí si

Je ta fotka černobílá, nebo barevná? Náš mozek realitu pouze odhaduje a vymýšlí si

** Klasický počítač bezchybně zpracuje bit po bitu dat ** Mozek si realitu naopak spíše představuje a chybuje ** Teď se tím baví internet u další optické iluze

Jakub Čížek | 31



Aktuální číslo časopisu Computer

Velký test Wi-Fi mesh

Nejlepší hodinky pro všechny aktivity

Důležité aplikace na cesty

Jak streamovat video na Twitch