VISA μοιράζει χρήματα χωρίς PIN

Μια ομάδα ακαδημαϊκών από την Ελβετία ανακάλυψε ένα σφάλμαπου μπορεί να χρησιμοποιηθεί για να παρακάμψει τους κωδικούς PIN στις ανέπαφες πληρωμές της Visa.

Αυτό σημαίνει ότι αν οι απατεώνες έχουν στα χέρια τους μια κλεμμένη κάρτα Visa, μπορούν να τη χρησιμοποιήσουν για να πληρώσουν ακριβά προϊόντα, και πάνω από το όριο των συναλλαγών χωρίς να χρειάζεται να εισάγουν τον κωδικό PIN της κάρτας.

Σύμφωνα με την ερευνητική ομάδα, μια επιτυχημένη επίθεση χρειάζεται τέσσερα στοιχεία: (1 + 2) δύο smartphone Android, (3) μια ειδική εφαρμογή Android που αναπτύχθηκε από την ερευνητική ομάδα και (4) μια κάρτα ανέπαφων συναλλαγών Visa.

Η εφαρμογή Android είναι εγκατεστημένη και στα δύο smartphone, τα οποία θα λειτουργούν ως εξομοιωτής καρτών και POS (Point-Of-Sale).

Το τηλέφωνο που μιμείται μια συσκευή POS βρίσκεται κοντά στην κλεμμένη κάρτα, ενώ το smartphone που λειτουργεί σαν εξομοιωτής της κάρτας χρησιμοποιείται για την πληρωμή αγαθών.

Η όλη ιδέα πίσω από την επίθεση είναι ότι ο εξομοιωτής POS ζητά από την κάρτα να πραγματοποιήσει μια πληρωμή και στη συνέχεια στέλνει τροποποιημένα τα δεδομένα μέσω WiFi στο δεύτερο smartphone που κάνει την πληρωμή χωρίς να χρειάζεται να δώσει PIN (αφού ο εισβολέας έχει τροποποιήσει τα δεδομένα της συναλλαγής για να πει ότι δεν απαιτείται PIN).

  Transmission torrent client έκδοση 3.0 για Windows, Linux και MacOS

“Η εφαρμογή μας δεν απαιτεί δικαιώματα root ή άλλα hacks στο Android και την έχουμε χρησιμοποιήσει με επιτυχία σε συσκευές Pixel και Huawei”, ανέφεραν οι ερευνητές.

Σε τεχνικό επίπεδο, οι ερευνητές ανέφεραν ότι η επίθεση είναι δυνατή λόγω ενός σχεδιαστικού ελαττώματος στο πρότυπο EMV και στο πρωτόκολλο για ανέπαφες πληρωμές της Visa.

Αυτά τα ζητήματα επιτρέπουν σε έναν εισβολέα να αλλάξει τα δεδομένα που εμπλέκονται σε μια ανέπαφη πληρωμή, μαζί με τα πεδία που ελέγχουν τα στοιχεία της συναλλαγής και εάν έχει επαληθευτεί ο κάτοχος της κάρτας η όχι.

“Η μέθοδος επαλήθευσης του κατόχου της κάρτας που χρησιμοποιείται σε μια συναλλαγή, δεν είναι ούτε επικυρωμένη ούτε κρυπτογραφημένη και δεν προστατεύεται από τροποποιήσεις”, ανέφεραν οι ερευνητές.

Περισσότερα: https://arxiv.org/pdf/2006.08249.pdf

 

[do_widget id=blog_subscription-3]

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


  +  54  =  55