Если вы оплачиваете что-либо картой, обычно вам нужно ввести ПИН-код. Исключение составляют транзакции на небольшие суммы, в настоящее время в России менее 1000 рублей. Однако, как обнаружили исследователи из ETH Zurich, недостаток во всех картах Visa позволяет обойти эту защиту. Таким образом, преступник может украсть карту и использовать ее сколько угодно раз.
Ошибка распространяется на все современные бесконтактные карты Visa, включая Visa Credit, Visa Debit, Visa Electron и V Pay. Кроме того, по мнению исследователей, он может использоваться в системах Discover и UnionPay. Однако это не касается Mastercard, American Express и JCB, что подтверждено на практике.
Обновление (09.09.2020 15:35): есть официальное заявление Visa, которое вы можете прочитать ниже.
Visa серьезно относится ко всем рискам безопасности платежей и высоко ценит усилия отрасли и научных кругов по повышению безопасности транзакций. Результаты такого типа тестов - хорошая возможность напомнить финансовым учреждениям о необходимости тщательной оценки потенциальных факторов риска. Однако стоит помнить, что на самом деле попытка удаленного чтения и несанкционированное использование данных, хранящихся на карте, оказалась невозможной для использования людьми, которые хотели бы совершать мошеннические транзакции.
Потребители по-прежнему могут спокойно пользоваться своими картами Visa. Благодаря многоуровневой защите цифровых платежей Visa удерживает мошеннические транзакции на исторически низком уровне - менее 0,1 процента. Исследования различных форм симулированных мошеннических операций проводились уже почти десять лет. На тот момент сообщений о реальных событиях подобного рода не поступало.
Карты близости очень безопасны. Благодаря использованию той же технологии безопасности, что и EMV® Chip, бесконтактные карты эффективно защищены от мошеннических транзакций благодаря одноразовому коду, предотвращающему использование конфиденциальных данных несанкционированным образом.
С помощью искусственного интеллекта мы постоянно отслеживаем и оцениваем транзакции, осуществляемые через глобальную платежную сеть VisaNet, анализируя более 500 уникальных атрибутов риска примерно за миллисекунду. Это помогает финансовым учреждениям быстро выявлять попытки совершения мошеннических операций и реагировать на них.
Атака использует способность терминалов обходить проверку и принимать учетные данные от пользовательского устройства. Отметим, что Apple Pay работает аналогично. Владельцы iPhone никогда не вводят PIN-код, а только подтверждают свою личность с помощью Touch ID или Face ID, то есть биометрических данных самого смартфона.
Исследователи обнаружили, что протокол метода проверки держателя карты (CVM), который отвечает за проверку личности держателя, не шифруется в случае взлома карт. Благодаря этому они создали приложение для Android, которое, как ретранслятор, загружает данные с карты и отправляет их на терминал как прошедшие проверку подлинности. В результате преступник может заплатить любую сумму, не зная ПИН-кода, и это еще не все.
Также была обнаружена вторая уязвимость, на этот раз за небольшую сумму денег. Речь идет о ситуациях, в которых терминал работает в автономном режиме, а списание средств со счета плательщика задерживается по отношению к самой транзакции. Затем карта отправляет на терминал зашифрованный текст, содержащий данные, необходимые для совершения платежа. Пока это правильно.
Между тем, у злоумышленника есть возможность изменить указанный зашифрованный текст, чтобы платеж на терминале принимался, но банк не может позже дебетовать счет. Здесь, в свою очередь, открывается поле для обмана водителей такси, уличных торговцев и всех остальных, использующих офлайн-терминалы. Интересно, что именно эта ошибка якобы касается и карт Mastercard, но только самых старых. Нынешние поколения не затронуты.
