Bezpečnost | Visa | NFC

Zranitelnost platebních karet Visa umožňuje zločincům obejít limit při bezkontaktních platbách

  • Odborníci přišli na to, jak obejít limit bezkontaktních plateb
  • Stačí zařízení, ovlivňující komunikaci mezi kartou a terminálem
  • Stahují se nad bezkontaktními platbami mračna?

Hackeři jsou údajně schopni obejít limit, od kterého je při bezkontaktním placení požadováno dodatečné zabezpečení. Dle informací serveru The Inquirer funguje uvedená metoda s platebními kartami Visa, kde využívá řady bezpečnostních nedostatků.

Experti z bezpečnostní firmy Positive Technologies tvrdí, že nedostatky umožňují kyberzločincům kompromitovat ověřovací limity ve 100 % testovaných případů. Při testování útoku s kartami, vydanými pěti největšími britskými bankami, dokázali Leigh-Anne Galloway a Tim Yunusov bez ohledu na karetní terminál obejít ověřovací limit a také zjistili, že útok je možný i u zahraničních karet a terminálů.

Mračna nad bezkontaktními platbami?

Positive Technologies označují zjištění za významná a poznamenávají, že limity bezkontaktních plateb se používají k ochraně před podvody v případě ztráty nebo odcizení karty. K úspěšnému obejití limitu musejí útočníci při transakci manipulovat s daty (konkrétně dvěma datovými poli) vyměněnými mezi kartou a terminálem.

Za běžných okolností při bezkontaktní platbě nad stanovený limit karta „odpoví“ terminálu, že ji nemůže provést. Následně terminál požádá o ověření držitele karty – nejčastěji požadavkem na zadání PINu, případně o odemknutí telefonu v případě placení mobilem.

Odborníci zjistili, že tyto kontroly lze obejít pomocí zařízení, které „zachycuje komunikaci mezi kartou a platebním terminálem“. Způsob provedení přirovnávají k útokům typu MITM („Man in the middle“), kdy útočník zasahuje do komunikace mezi dvěma stranami. V tomto případě zařízení sdělí kartě, že ověření není nutné, přestože je částka vyšší než limit. Poté sdělí terminálu, že ověření již bylo provedeno jiným způsobem.

Kromě možného útoků na platby přes platební terminál mohou hackeři také použít mobilní peněženky, jako je například GPay, k převzetí kontroly nad kartami Visa a používat je k odcizení až 30 liber (cca 800 Kč) bez nutnosti odemykání telefonu.

Bezpečnost musí být na prvním místě

Positive Technologies v oficiálním prohlášení uvádějí, že objev „zdůrazňuje význam dodatečného zabezpečení ze strany vydávající banky“ a dodává, že „vydavatelé by měli mít zavedená vlastní opatření k detekci a blokování tohoto a dalších způsobů útoků na proces platby“.

Tim Yunusov, šéf oddělení, zabývajícího se bankovní bezpečností, uvedl: „Platební průmysl věří, že bezkontaktní platby jsou chráněny zavedenými zárukami, ale faktem je, že objem podvodů v segmentu bezkontaktních plateb roste.“

Leigh-Anne Galloway z oddělení kybernetické bezpečnosti dodala, že některé terminály vyžadují nahodile kontrolu zadáním PINu i při částkách pod limit. To ale musí naprogramovat obchodník, takže je to zcela na jeho uvážení. „Z tohoto důvodu můžeme očekávat, že podvody s bezkontaktními kartami neustále porostou. Vydavatelé musí vylepšit prosazování svých vlastních pravidel pro platby.“

Diskuze (79) Další článek: „Xi je můj přítel,“ napsal Trump a uvalil cla na zbylý čínský export. Sony zdraží PlayStation, Apple přesune výrobu

Témata článku: Bezpečnost, Velká Británie, Peníze, Placení mobilem, Visa, NFC, Pin, Limit, The Inquirer, Zranitelnost, Server The Inquirer, Zrání, Platba, Galloway, Bezkontaktní platba, Ověření, Platební karta, Mračno, Positive Technologies, Man in the middle, Terminál


Určitě si přečtěte

12 netradičních map České republiky, které jste ještě nikdy neviděli

12 netradičních map České republiky, které jste ještě nikdy neviděli

** Tušíte, kolik je u nás hřbitovů a jak jsou velké? ** Dokážete si představit mapu českých řek a potoků? ** Udělali jsme to všechno za vás nad daty ČÚZK

Jakub Čížek | 10

Čím nahradit Total Commander: 11 správců souborů nejen pro profíky

Čím nahradit Total Commander: 11 správců souborů nejen pro profíky

** Total Commander je fernomén mezi správci souborů ** Našli jsme 11 povedených alternativ ** Zvládnou to samé a ke všemu jsou většinou zadarmo

Karel Kilián | 87

Za hranicemi Chromu: 13 nejzajímavějších prohlížečů, které „nikdo“ nepoužívá

Za hranicemi Chromu: 13 nejzajímavějších prohlížečů, které „nikdo“ nepoužívá

** Šesti nejpoužívanějším prohlížečům patří 94 % trhu ** Různé „klony“ Chromu slibují lepší funkce nebo jiný design ** Také Firefox má řadu zajímavých odnoží

Lukáš Václavík | 38

Zahodil jsem Windows, přešel na Linux a nezbláznil se z toho

Zahodil jsem Windows, přešel na Linux a nezbláznil se z toho

** Měsíc jsem se nedotkl Windows a byl závislý jen na Linuxu ** Jaká byla pozitiva a negativa přechodu? ** Se kterými aplikacemi jsem (ne)zápasil a které bych doporučil?

Lukáš Václavík | 233

Na měsíc jsem opustil Google a potupně se zase vrátil zpět (komentář)

Na měsíc jsem opustil Google a potupně se zase vrátil zpět (komentář)

** Zkusil jsem se zbavit závislosti na vyhledávači od Googlu ** Jako alternativy posloužily Bing, Seznam a DuckDuckGo ** Mají své silné stránky, ale i nepřekonatelná negativa

Lukáš Václavík | 60

Z rozmazané šmouhy krásná fotka. Takhle kouzlí nová umělá inteligence MyHeritage

Z rozmazané šmouhy krásná fotka. Takhle kouzlí nová umělá inteligence MyHeritage

** MyHeritage slibuje nejlepší neuronovou síť pro vylepšování fotek ** Funguje tím líp, čím horší fotku upravuje ** Otestovali jsme desítky různých snímků

Marek Lutonský, Lukáš Václavík | 39

Testy procesorů Intel Comet Lake pro desktopy jsou venku. Teď už je jasné, jakého dostaly Ryzeny soupeře

Testy procesorů Intel Comet Lake pro desktopy jsou venku. Teď už je jasné, jakého dostaly Ryzeny soupeře

** Embargo pro testy nových desktopových procesorů Comet Lake od Intelu skončilo ** Spousta recenzí a testů ukazuje výhody a nevýhody nových modelů ** Dokáží nové procesory konkurovat modelům od AMD?

Karel Javůrek | 47

Nejlepší programy z roku 2000: Další várka zapomenutých legend, které jste měli v PC

Nejlepší programy z roku 2000: Další várka zapomenutých legend, které jste měli v PC

** Pokračujeme ve vzpomínání na prehistorické programy ** Pročetli jsme vaše tipy v diskuzi ** A všechny ty vykopávky spustili na Windows 2000

Jakub Čížek | 74


Aktuální číslo časopisu Computer

Megatest: nejlepší notebooky do 20 000 Kč

Test 8 levných IP kamer

Jak vybrat bezdrátová sluchátka

Testujeme Android 11