- Специальный корреспондент
Коллектив исследователей-хакеров, работающий в сфере безопасности, обнаружил уязвимость в платёжной системе кредитных карт VISA. Найденная уязвимость позволяет злоумышленнику, вооружённому двумя смартфонами с чипами NFC и некоторым специальным программным обеспечением, обходить защитный механизм запроса PIN-кода подтверждения проведения платежа.
Что это значит простыми словами? У каждой кредитной или дебетовой карты VISA есть настройка (параметр), хранящий пороговый размер денежной суммы, позволяющий проводить платёж без ввода пароля (PIN кода). Например, если задать порог как 100 рублей и купить мандаринку за 10 рублей, то платёжный терминал магазина не будет запрашивать у вас PIN код при оплате. Но если купить торт за 500 рублей, то терминал на кассе запросит у вас пароль (PIN код). Хакеры смогли найти лазейку, позволяющую обойти защитный механизм и проводить все платежи без запроса PIN кода. Да-да! Они могут бесконтактным способом, то есть по воздуху, снять любую сумму с карты VISA без запроса пароля PIN. Представляете масштаб бедствия?
С технической точки зрения процесс взлома выглядит следующим образом. Один из смартфонов с NFC коммуникацией выполняет роль эмулятора платёжного терминала, современные смартфоны имеют такой функционал. Кредитная карта должна быть поднесена к этому эмулятору терминала. В момент проведения платежа эмулятор запрашивает у карты разрешение на совершение операции. Далее эмулятор терминала получает разрешение от карты, и в это же время второй смартфон, использующий специальное программное обеспечение, совершает подмену параметров транзакции, блокируя запрос карты на ввод пароля PIN. Всё, что нужно сделать дальше, - поднести смартфон с привязанной картой к реальному терминалу продавца и оплатить покупку без какого-либо запроса PIN-кода. Процесс занимает считанные секунды и отображён на видеозаписи.
Что это значит простыми словами? У каждой кредитной или дебетовой карты VISA есть настройка (параметр), хранящий пороговый размер денежной суммы, позволяющий проводить платёж без ввода пароля (PIN кода). Например, если задать порог как 100 рублей и купить мандаринку за 10 рублей, то платёжный терминал магазина не будет запрашивать у вас PIN код при оплате. Но если купить торт за 500 рублей, то терминал на кассе запросит у вас пароль (PIN код). Хакеры смогли найти лазейку, позволяющую обойти защитный механизм и проводить все платежи без запроса PIN кода. Да-да! Они могут бесконтактным способом, то есть по воздуху, снять любую сумму с карты VISA без запроса пароля PIN. Представляете масштаб бедствия?
С технической точки зрения процесс взлома выглядит следующим образом. Один из смартфонов с NFC коммуникацией выполняет роль эмулятора платёжного терминала, современные смартфоны имеют такой функционал. Кредитная карта должна быть поднесена к этому эмулятору терминала. В момент проведения платежа эмулятор запрашивает у карты разрешение на совершение операции. Далее эмулятор терминала получает разрешение от карты, и в это же время второй смартфон, использующий специальное программное обеспечение, совершает подмену параметров транзакции, блокируя запрос карты на ввод пароля PIN. Всё, что нужно сделать дальше, - поднести смартфон с привязанной картой к реальному терминалу продавца и оплатить покупку без какого-либо запроса PIN-кода. Процесс занимает считанные секунды и отображён на видеозаписи.
