Баги NFC позволяют бесконтактно взломать банкоматы с помощью смартфона
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Баги NFC позволяют бесконтактно взломать банкоматы с помощью смартфона

Екатерина Быстрова 25 Июня 2021 - 08:56
...
Баги NFC позволяют бесконтактно взломать банкоматы с помощью смартфона

Исследователь в области кибербезопасности обнаружил ряд багов, позволяющих взломать банкоматы и POS-терминалы. До этого эксперты и преступники уже демонстрировали атаки на ATM, но на этот раз нам показали действительно новый способ — с помощью смартфона и считывателя бесконтактных карт.

Джозеф Родригес, специалист из штата компании IOActive, потратил последний год на поиск уязвимостей в NFC-чипах ридеров, которые используется в миллионах банкоматов и терминалов для оплаты по всему миру.

Если вы вдруг не в курсе, именно NFC позволяет нам бесконтактно оплачивать товары своей картой. Такую систему можно встретить почти в каждом магазине, ресторане и т. п.

Учитывая эту особенность и нюансы работы NFC, Родригес написал Android-приложение, позволяющее смартфону имитировать взаимодействие с банковской картой. Программа эксперта эксплуатирует уязвимости в прошивке NFC-систем.

Другими словами, просто проведя телефоном у банкомата или терминала, Родригес мог использовать ряд багов, позволяющих в результате взломать эти устройства, привести к сбою в их работе или же изменить данные транзакции. Более того, эксплуатация этих дыр может привести к блокировке ATM, после чего можно потребовать выкуп.

По словам Родригеса, ему удалось заставить банкомат одного из производителей «выплюнуть» деньги — так называемая «атака джекпота». Специалист отказался раскрыть детали использованных уязвимостей, чтобы не нарушать договор между ним и производителями банкоматов.

«Вы можете модифицировать прошивку и изменить, например, цену на один доллар, хотя на дисплее будет отображаться, скажем, 50 долларов. Вы также можете превратить устройство в кирпич или установить какую-либо программу-вымогатель. Там много возможностей, на самом деле», — объясняет Родригес.

«А если вы свяжете атаку с отправкой специального пейлоада компьютеру банкомата, вы сможете провести атаку джекпотинга».

Специалист уведомил производителей, чьи банкоматы затронуты проблемой: ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo. Есть ещё один нюанс — патчинг сотен тысяч банкоматов, который ещё должен осуществляться физически, — непростая задача.

Эксперт поделился с изданием WIRED видео, на котором демонстрируется описанный им метод атаки.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Оператора связи оштрафовали на ₽600 тысяч за пропуск мошеннических звонков
Татьяна Никитина 26 Ноября 2025 - 18:19
МошенничествоСоответствие законодательству РФ Общее
Оператора связи оштрафовали на ₽600 тысяч за пропуск мошеннических звонков

В Санкт-Петербурге по требованию прокуратуры крупному оператору сотовой связи назначили штраф в размере 600 тыс. руб. за халатное отношение к обязанности блокировать звонки мошенников с подменных номеров.

Факт правонарушения было выявлен в ходе прокурорской проверки исполнения законодательства о связи. Имя виновника не разглашается.

Как оказалось, из-за пропущенных оператором звонков с подменой телефонного номера пострадал местный житель: мошенники путем обмана украли у него более 500 тыс. рублей.

Дело об административном правонарушении рассматривалось в рамках ч. 2 ст. 13.2.1 КоАП (неисполнение оператором связи обязанности по прекращению оказания услуг связи и/или услуг по пропуску трафика в случаях, предусмотренных законодательством РФ).

В Питере также возбуждено уголовное дело о телефонном мошенничестве. Прокуратура взяла его на контроль.

Блокировать вызовы и СМС с подменных номеров операторы обязаны согласно поправкам к закону «О связи», принятым в июле 2022 года. База номеров телефона, используемых мошенниками, доступна всем операторам, подключенным к Антифроду Роскомнадзора.

Случаи пренебрежения такими обязанностями редки — или просто не попадают в поле зрения регуляторов. Так, три года назад российскую дочку Orange наказали по максимуму по той же статье КоаП, взыскав 1 млн рублей за пропуск вызова с подменного номера.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Android получила новую защиту от мошенников и вход по номеру телефона
Новость
Android получила новую защиту от мошенников и вход по номеру...
СКДПУ НТ 2.3.3 получила менеджер паролей и новые функции кастомизации
Новость
СКДПУ НТ 2.3.3 получила менеджер паролей и новые функции кас...
Группировка Cavalry Werewolf взломала сеть госоргана с помощью бэкдоров
Новость
Группировка Cavalry Werewolf взломала сеть госоргана с помощ...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.