Оплатить с украденной кредитки МОЖНО без PIN-кода!

И это не новость, ведь еще в прошлом году исследователи из Швейцарской высшей технической школы Цюриха представили на конференции Usenix новое исследование о безопасности платежных карт. Они показали ныне закрытую уязвимость, позволяющую совершать покупки на крупные суммы с карт Mastercard и Maestro.

Сценарий следующий: исследователь прикладывал к украденной карте смартфон, передавал считанные бесконтактным способом данные на другой смартфон, в процессе чего информация с карты слегка модифицировалась. Второе устройство нужно было поднести к платежному терминалу, операция на котором производится без PIN-кода. Экспертам удалось обойти лимит на сумму платежа без подтверждения PIN-кодом и совершить покупку на 400 франков (435 USD). Этот метод использует ранее обнаруженную (и также закрытую) уязвимость для карт Visa. Провести атаку на Mastercard и Maestro удалось благодаря наличию протокола коммуникации, общего для карт разных поставщиков.

О предыдущем исследовании группы писали ранее. Уже тогда была разработана система передачи данных с карты на терминал при помощи двух смартфонов. Исследователи передавали информацию с карты без изменений, но меняли статус на «авторизованный» и «не требующий ввода PIN», благодаря чему и удавалось оплатить дорогую покупку без дополнительной авторизации.

А вот так выглядит еще одна атака. В целом все то же самое: нужно поднести к смартфону кредитную карту (на этот раз Maestro), затем информация передается на другой смартфон, а с него — на платежный терминал (использован терминал для малого бизнеса, поэтому в кадре три смартфона). Обе атаки похожи друг на друга. Исследователи выяснили, что Maestro и Mastercard имеют такую же уязвимость, хотя ранее эти карты проверялись и оригинальная атака не сработала. Но так как протокол коммуникации общий, добиться проведения платежа без PIN-кода удалось путем подмены идентификатора Application Identifier.

Иными словами, терминал работал с картой Maestro, думая, что считывает карту Visa, и в такой конфигурации старый метод снова оказался эффективным. К счастью, исследователи подтвердили, что после изменений «на стороне сервера» этот способ больше не действует. Атака также представляет интерес тем, что владелец терминала не может определить мошенническую операцию. С его точки зрения все выглядит, как обычная оплата покупки телефоном.

Все для работы с банкоматом: скиммеры для Wincor, Diebold, NCR.

ПРИВАТНЫЙ СОФТ ( Jackpotting)
Наши официальные каналы:
English: https://t.me/skimmingserv
Russian: https://t.me/skimmingservice