Biznes i Finanse
Niebezpieczne płatności zbliżeniowe. Wykryto istotną lukę w zabezpieczeniach kart Visa
Brytyjski magazyn Forbes donosi, że w wyniku przeprowadzonego badania bezpieczeństwa wykazano bardzo istotną lukę w zabezpieczeniach kart Visa umożliwiających płatności zbliżeniowej ponad wskazany limit 30 funtów brytyjskich. Problem nie dotyczy jedynie kart wydanych w Wielkiej Brytanii.
Luka w zabezpieczeniach umożliwiła Leigh-Anne Galloway oraz Timowi Junusowi z Positive Technologies ominięcie ustalonego limitu transakcji dokonując 3-krotnie zakończonych sukcesem transakcji na 31 funtów brytyjskich a także na kwotę przekraczającą ponad 3- krotnie limit dokonując płatności na 101 Funtów. W ich opinii możliwe jest przeprowadzenie ponad limitowej transakcji również poza Wielką Brytanią. Jak wskazuje sama firma z uwagi na powszechne stosowanie tego zabezpieczenia przed nieautoryzowanymi transakcjami odkrycie luki stanowi bardzo istotny sygnał dla sektora finansowego.
W oficjalnym komunikacie firma informuje, że badanie zostało przeprowadzone na 5 największych banków w Wielkiej Brytanii, skutecznie omijając limit na wszystkich testowanych kartach, niezależnie od terminala. Zaleca również konieczność wypracowania dodatkowego zabezpieczenia protokołu płatności. Atak polega na manipulowaniu danymi wymienianymi podczas kartą a terminalem płatniczym podczas dokonywania płatności. Podczas standardowej procedury przy ponad limitowych płatnościach terminal blokuje możliwość płatności aż do momentu uwierzytelnienia (kodem PIN lub zatwierdzeniem płatności na smartfonie). Badacze odkryli, że konieczność uwierzytelnienia można ominąć za pomocą urządzenia działającego jako serwer proxy, przechwytującego komunikację między kartą a terminalem płatniczym. Po pierwsze, urządzenie informuje kartę, że weryfikacja nie jest konieczna, nawet jeśli kwota jest większa niż 30 £. Następnie urządzenie informuje terminal, że weryfikacja została już dokonana za pomocą innych środków.
Tim Junusow wskazuje, że branża płatności przekonana jest o skuteczności zastosowanych zabezpieczeń, jednak jak wykazało badanie należy uwzględnić możliwość dokonywania przestępstw na tym polu. Pomimo, że jest to nowy sposób dokonywania oszustw, wykryty i zaprezentowany przez ekspertów, powinien stanowić priorytet dla podmiotów bankowych, aby dokonać poprawy bezpieczeństwa i zminimalizowania strat zarówno dla banków jak i ich klientów. Leigh-Anne Galloway wskazuje również na konieczność dbania o bezpieczeństwo przez klientów i zwrócenie uwagi na narastające zagrożenie również w tym zakresie. Badacze zalecają również wprowadzenie dodatkowych środków ostrożności przez klientów poprzez monitorowanie wyciągów rachunków bankowych oraz wprowadzenia dodatkowych środków ostrożności proponowanych przez bank. Jak podkreśla Forbes luka powoduje, że złodzieje kart mogą dokonywać większych płatności. Zagubienie lub kradzież karty może spowodować zatem wysokie straty dla użytkownika.
Zdaniem Forebes Visa nie planuje aktualizacji i naprawienia luki w bezpieczeństwie. Magazyn powołując się na rzecznika firmy twierdzi, że gigant finansowy lekceważy zagrożenie uznając, że w realnych warunkach takie działanie nie mogłoby się odbyć. Rzecznik firmy odpierał zarzuty poprzez wskazanie, że przestępca musiałby wejść w fizyczne posiadanie karty, która nie została jeszcze zgłoszona do zablokowania. Jednak jak z kolei odpowiadają eksperci Positive Technologies wykryta luka umożliwia wykradanie i przekierowywanie płatności również wtedy, kiedy złodziej podejdzie do ofiary wystarczająco blisko. W ich opinii możliwe jest odczytanie płatności z karty za pomocą telefonu komórkowego i przekierowanie do innego telefonu w celu dokonania płatności.
Positive Technologies świadczy usługi z zakresu cyberbezpieczeństwa. Zarejestrowana została w Wielkiej Brytanii, przez eksperta ds. bezpieczeństwa rosyjskiego pochodzenia Juriego Maksimowa.
Źródło: ptsecurity.com / forbes