Эксперты британской компании Positive Technologies, занимающейся вопросами кибербезопасности, нашли способ обойти ограничение на картах Visa. Этот способ позволяет злоумышленникам снимать средства со счета одним движением руки. Вдобавок ко всему для этого даже не нужна сама карта, сообщает Forbes.
Мошенники могут, к примеру, считать платеж с карты собственным мобильным терминалом, когда владелец отвернулся. Хуже того — считать платеж можно даже мобильным телефоном, переслать данные на другое устройство и провести платеж уже с него без каких-либо ограничений. Чтобы схема сработала, злоумышленникам нужно просто находиться рядом с жертвой.
Для того, чтобы воспроизвести мошенническую схему, исследователи из Positive Technologies использовали аппарат для перехвата и замены сообщений в канале связи между картой и считывающим устройством. Например, они смогли «убедить» карту в том, что PIN-код не нужен, хотя сумма транзакции превышала £30, а затем сообщили терминалу, что верификация уже проведена другим способом.
При мошенничестве с двумя мобильными телефонами один телефон использовался для сбора данных карты, второй — ненадолго «клонировал» карту. Первое устройство собирает с карты так называемую криптограмму платежа, которая фактически является подписью, гарантирующей действительность будущих платежей. Криптограмма отправляется на второй телефон, который затем симулирует карту и сам процесс оплаты. Потом злоумышленники могут повторять операцию бесконечно, воспроизводя атаку с перехватом, как описано ранее.
Сотрудники Positive Technologies попробовали воспроизвести трюк на личной карте Visa корреспондента Forbes. Они провели три платежа по £31. На своих собственных картах они сделали бесконтактные платежи на сумму £101. Однако мошенники могут украсть намного больше, доходя до сотен и тысяч.
Специалисты пока выясняют, работает ли эта схема где-то еще, но утверждается, что одной Великобританией дело не ограничивается. Лимиты, конечно, везде разные. Например, в США ограничение составляет $100. В России платежная система Visa с 13 апреля 2019 г. увеличила максимальную сумму покупок, которые можно оплачивать без ввода пин-кода, с 1 тыс. рублей до 3 тыс. рублей.
Обновлять свои системы для пресечения махинаций Visa не планирует. По мнению финансового гиганта, трюк вряд ли можно проделывать в реальной жизни, ведь злоумышленникам необходимо иметь карту на руках, а такое происходит нечасто. Однако на самом деле карту не обязательно красть. Как было показано в ходе испытания, злоумышленнику нужно лишь ненадолго близко подобраться к карте жертвы и считать платеж.
Представитель Visa заверяет, что с 2017 по 2018 год доля мошеннических операций с бесконтактными платежами во всем мире сократилась на 33%, а в Европе — на 40%. Данные банковской ассоциации UK Finance говорят о том, что в 2018 году убытки клиентов от махинаций с бесконтактными платежами составили £19,5 млн, а в 2017-м было украдено £14 млн.
Как считают эксперты, пресечь атаки, описанные Positive Technologies, на техническом уровне крайне проблематично. Важно держать свою карту в безопасном месте. Для тех, кто боится, что их карту смогут считать сквозь кошелек, в продаже есть специальные непроницаемые подложки. Как недорогое решение используют чехлы для телефонов, потому что они тоже имеют подобную защиту. А еще полезно просматривать ленту операций, чтобы выявлять подозрительные транзакции, не дожидаясь сообщений от банка.
Как только бесконтактные платежи станут повсеместными, вполне вероятно, что поставщики платежных услуг быстро найдут способ распознавать подозрительные операции и блокировать их. Спасением могут стать и грядущие изменения в европейском законодательстве. С сентября 2019 года европейские банки должны будут обязаны требовать PIN-код после того, что как общая сумма бесконтактных платежей за последние пять бесконтактных транзакций в один день превысит £130.