https://www.anti-malware.ru/files/st...ypass_news.png
Исследователи из Швейцарской высшей технической школы Цюриха обнаружили способ обойти защиту ПИН-кодом на бесконтактных картах Mastercard и Maestro. В настоящий момент уязвимость уже устранили.
Выявленная экспертами лазейка позволяла злоумышленникам использовать украденные банковские карты для крупных покупок, при этом не требовалось вводить ПИН-код при бесконтактной оплате.
Хуже всего, что описанный исследователям сценарий вполне можно воспроизвести в реальной ситуации, более того — атака крайне незаметна. Специалисты даже опасаются, что новые подобные баги повлекут за собой их массовую эксплуатацию.
Для осуществления подобной атаки злоумышленнику придётся «вклиниться» между украденной картой и терминалом для оплаты (PoS). Фактически это тот же «Человек посередине» (Man-in-the-Middle, MitM), только немного в другой интерпретации. Преступнику в этом случает понадобятся:<ul><li>украденна� � банковская карта;</li>
</ul><ul><li>два смартфона на Android;</li>
</ul><ul><li>кастомное Android-приложение, способное взаимодействовать с полями транзакции.</li>
</ul>Это приложение, которое необходимо установить на оба смартфона, будет работать в качестве эмуляторов. Один из девайсов злоумышленник помещает рядом с украденной картой — он будет эмулировать PoS-терминал: обманом инициировать транзакцию и вытаскивать данные карты.
Второй смартфон в это время будет исполнять роль эмулятора карты и передавать реальному терминалу данные транзакции.
https://www.anti-malware.ru/files/card-relay_attack.png
Таким образом, для продавца всё будет выглядеть так, будто обычный клиент расплачивается с помощью мобильного устройства. Кого сейчас этим удивишь?
https://youtu.be/8d7UgIiMRBU
С техническими подробностями метода специалистов можно ознакомиться в их https://www.usenix.org/conference/us...entation/basin.