Biznes i Finanse
Czy płatności kartą Visa są bezpieczne?
„W przypadku zdecydowanej większości wydanych w Polsce kart, tego typu nadużycia w punktach handlowych nie mogłyby mieć szans powodzenia z uwagi na zachodzącą w czasie rzeczywistym weryfikację w trybie online kodu PIN karty” – pisze Visa w odpowiedzi na pytania redakcji CyberDefence24.pl. Firma komentuje w ten sposób doniesienia Forbes oraz Positive Technologies dotyczące wykrycia istotnej luki w zabezpieczeniach kart Visa, umożliwiającej płatności zbliżeniowe ponad wskazany limit.
Jak informował CyberDefence24.pl wczoraj luka w zabezpieczeniach zdaniem ekspertów mogła by spowodować wysokie straty dla użytkownika w wypadku zgubienia lub kradzieży karty płatniczej.
Badanie ekspertów z Positive Technologies objęło 5 największych banków w Wielkiej Brytanii, Specjalistom udało się ominąć limit na wszystkich testowanych kartach, niezależnie od terminala. Symulowany atak polegał na manipulowaniu danymi wymienianymi między kartą a terminalem płatniczym podczas dokonywania płatności. Badacze odkryli, że konieczność uwierzytelnienia można ominąć za pomocą urządzenia działającego jako serwer proxy, przechwytującego komunikację między kartą a terminalem.
Redakcja cyberDefence24.pl zwróciła się do polskiego oddziału Visa w celu uzyskania komentarza tej sprawie. Jak wynika z odpowiedzi firmy, klienci użytkujący karty w dalszym ciągu są bezpieczni. „Od niemal dziesięciu lat prowadzone są badania dotyczące różnych form symulowanych transakcji oszukańczych. W tym czasie nie było żadnych zgłoszeń dotyczących realnych zdarzeń tego typu. Być może sensowne jest przeprowadzanie testów, jednak takie podejście okazało się niemożliwe do zastosowania przez osoby, które chciałyby dokonać transakcji oszukańczych w rzeczywistości” – wskazują przedstawiciele światowego giganta finansowego. Odpowiedz ta nie jest spójna z doniesieniami badaczy, którzy przeprowadzili symulację udowadniając, że istnieją realne przesłanki ku temu, aby taki atak zaistniał w realnych warunkach. Jak wskazuje dalej Visa – „W przypadku zdecydowanej większości wydanych w Polsce kart, tego typu nadużycia w punktach handlowych nie mogłyby mieć szans powodzenia z uwagi na zachodzącą w czasie rzeczywistym weryfikację w trybie online kodu PIN karty”. Odpowiedz instytucji jest o tyle niezrozumiała, że badanie odnosiło się właśnie do omijania konieczności wprowadzania kodu PIN do uwierzytelniania płatności.
Jednocześnie, jak czytamy w przesłanej odpowiedzi, dzięki wielowarstwowemu zabezpieczaniu płatności cyfrowych Visa „utrzymuje liczbę transakcji oszukańczych na historycznie niskim poziomie nieprzekraczającym 0,1 procenta”. Firma zapewnia, że karty zbliżeniowe także są bezpieczne. Równocześnie władze koncernu podkreślają, że pomimo zwiększenia globalnego wykorzystania kart zbliżeniowych „odsetek transakcji oszukańczych kartami zbliżeniowymi Visa na całym świecie spadł o 33% pomiędzy 2017 a 2018 r., zaś w Europie zmniejszył się o 40% pomiędzy 2017 a 2018 r. Poprzez zastosowanie takiej samej technologii zabezpieczeń jak EMV® Chip, karty zbliżeniowe są niezwykle skuteczne w przeciwdziałaniu transakcjom oszukańczym za sprawą jednorazowego kodu, który zapobiega wykorzystaniu wrażliwych danych w nieuprawniony sposób”.
Czy odpowiedz sugeruje, że finansowy gigant lekceważy odkrycie luki przez Positive Technologies? Redakcja liczy jednak, że Visa sprawdzi doniesienia o potencjalnym zagrożeniu i odpowiednio zabezpieczy interesy klientów.