Visa позволяет злоумышленникам обойти лимит при бесконтактной оплате

Visa позволяет злоумышленникам обойти лимит при бесконтактной оплате

Visa позволяет злоумышленникам обойти лимит при бесконтактной оплате

Ряд уязвимостей позволяет злоумышленникам обойти лимит суммы при оплате с помощью бесконтактных карт Visa. О проблеме сообщили исследователи Positive Technologies Ли-Энн Гэллоуэй и Тим Юнусов.

Эксперты протестировали атаки такого рода на пяти крупнейших банках Великобритании. Максимальная сумма, которой можно расплатиться без верификации, установлена в Британии на £30. Специалистам удалось обойти это ограничение в случае с любой картой Visa.

При этом совершенно неважно, какой терминал используется для совершения операции — атака экспертов все равно сработает. Более того, Ли-Энн Гэллоуэй и Тим Юнусов сообщили, что обойти лимит суммы можно и за пределами Великобритании.

По сути, это очень важное открытие, ведь банки не зря устанавливают эти ограничения. Кредитные организации внедряют подобные меры, чтобы бороться с постоянно растущей угрозой несанкционированных списаний денежных средств. Предполагается, что это должно уберечь клиентов от потерь крупных сумм.

Атака специалистов Positive Technologies завязана на манипуляции двумя полями данных, которыми обмениваются карта и терминал в процессе бесконтактной оплаты. Как известно, проверяется сумма, если она превышает £30, в ход идет процесс верификации — клиента просят подтвердить списание средств путем ввода PIN-кода или сканирования отпечатка пальца.

Обе эти проверки, по словам Гэллоуэй и Юнусова, можно обойти с помощью устройства, которое перехватывает коммуникацию между терминалом и бесконтактными картами. Само устройство действует как прокси и осуществляет атаку «Человек посередине».

Во-первых, девайс оповещает терминал, что в верификации нет необходимости, даже если сумма превышает £30. После этого устройство убеждает терминал, что верификация была пройдена другим способом.

Проблема кроется в том, что Visa не требует определенного уровня проверки, который блокирует оплату без подтверждения. Атака также сработает в случае с системами электронных платежей вроде GPay.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Компания Стахановец получила лицензию ФСТЭК России

Компания «Стахановец» получила бессрочную лицензию ФСТЭК России на разработку и производство средств защиты конфиденциальной информации. Продукт, представленный на рынке с 2009 года, входит в Реестр российского программного обеспечения.

Согласно лицензии № Л050-00107-77/02210986, компания имеет право разрабатывать и производить программно-технические комплексы для защиты, обработки и контроля информации, а также внедрять их на объектах критической информационной инфраструктуры.

Ранее система «Стахановец», предназначенная для защиты от утечек данных и мониторинга сотрудников, получила сертификат соответствия ФСТЭК России по 4 уровню доверия.

«Для нас, как для разработчика, критически важно не только расширять функциональность решения, но и обеспечивать максимально высокий уровень безопасности», — отметил генеральный директор компании Дмитрий Исаев.

«Это цель, которую ставят перед собой лидеры рынка, и важный критерий для наших клиентов. Мы ценим их обратную связь и считаем принципиально важным соответствовать требованиям регуляторов в области ИТ-безопасности».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru