Швейцарские исследователи опубликовали работу, посвященную «подмене бренда» платежных карт: с помощью MITM-атаки можно заставить платежный терминал принять карту Mastercard за Visa. Вендор карт уже исправил некоторые ошибки, приводившие к подобной возможности.
Visa, Mastercard — какая разница
Эксперты швейцарского университета ETH Zurich опубликовали исследование, описывающее новый вариант атаки, позволяющие обходить PIN-идентификаторы на бесконтактных картах оплаты Mastercard. Платежный терминал можно заставить поверить, будто он списывает средства с кредитной карты Visa.
В сентябре 2020 г. было опубликовано другое исследование, посвященное обходу защиты с помощью PIN. Злоумышленники, как выяснилось, имеют возможность использовать потерянные или украденные карты Visa с поддержкой платежного стандарта EMV для крупных покупок (без ведома легальных владельцев, естественно), а также заставлять платежные терминалы принимать и проводить неаутентичные транзакции офлайн. Это становится возможным вследствие ряда уязвимостей в протоколе EMV.
В новом исследовании описывается возможность выдавать бесконтактные карты Mastercard за карты Visa. Авторы документа разработали специальное приложение под Android, которое посредством MITM-атаки перехватывает и видоизменяет соединения NFC (или Wi-Fi) для подмены бренда карты.
PIN-код на картах Mastercard можно обойти, выдав их за Visa
Если используются карты Visa или Mastercard, EMV-транзакции запускаются только после запроса на авторизацию. Платежный терминал распознает марку карты по номеру карты (PAN) и идентификатору приложения (AID), которое определяет тип карты (Mastercard Maestro или Visa Electron). В зависимости от того, какая карта используется, платежный терминал запускает соответствующее EMV-ядро и направляет данные в платежную сеть Visa или Mastercard.
EMV-ядро — это набор функций, которое предоставляет необходимую логику для обработки платежа и данные, необходимые для проведения контактной или бесконтактной транзакции.
Зачем проверять AID
Проблема в том, что аутентификация идентификаторов AID на платежном терминале не производится. В результате есть возможность заставить терминал запустить не то ядро, а следовательно — заставить банк, обрабатывающий платежи для продавца, принимать бесконтактные транзакции с идентификаторами PAN и AID от разных типов карт. Фактически злоумышленник может платить якобы одновременно картой Visa и Mastercard.
Для успешного осуществления атаки, однако, требуется соблюсти ряд условий. Во-первых, злоумышленник должен иметь доступ к карте жертвы, а также возможность модифицировать команды терминала и ответы карты.
В бесконтактном протоколе EMV однако есть еще один недочет, который, по данным исследователей, позволяет сформировать все необходимые ответы на команды платежных терминалов, регламентированные протоколом Visa, используя ответы от карт других марок, включая криптографические подтверждения, которые эмитент карты требует для подтверждения транзакции.
Используя тестовое приложение под Android, исследователи ETH Zurich смогли, по их словам, обойти верификацию PIN для транзакций с помощью кредитных и дебетовых карт Mastercard (в т. ч. Maestro debit), выпущенных разными банками. Размеры одной из транзакций составили более $400.
Компания Mastercard уже приняла некоторые меры по защите своих карт. В частности, платежные организации теперь обязаны включать AID в данные, необходимые для авторизации, так чтобы AID и PAN можно было сверять до проведения платежа. Кроме того, внедрены средства проверки других данных, позволяющие засечь атаку до того, как деньги будут переведены мошенниками.
«Из приведенного описания складывается впечатление, что атака сложна в исполнении, однако при наличии того самого приложения она вполне практична, — считает Алексей Водясов, технический директор компании SEC Consult Services. — Отсутствие проверки одного из ключевых параметров на платежном терминале, конечно, озадачивает, однако это далеко не уникальное явление. Точки продаж и платежные терминалы сами по себе далеко не самая защищенная часть процессинга».
Для просмотра ссылки необходимо нажать
Вход или Регистрация