Исследователи научились обходить PIN-коды для карт Mastercard и Maestro - «Новости» » Интернет технологии
sitename
Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
Oracle в частном порядке уведомляет клиентов об утечке данных - «Новости»
 В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
В Positive Technologies нашли новый вектор эксплуатации уязвимостей в процессорах Intel - «Новости»
 В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
В Apache Parquet обнаружили критическую RCE-уязвимость - «Новости»
 Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
Каскадную атаку на цепочку поставок на GitHub связали с утечкой токена SpotBugs - «Новости»
 Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
Уязвимость в Google Quick Share позволяла передавать файлы без согласия пользователя - «Новости»
 Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
 Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
 Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
 «Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
 Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Исследователи научились обходить PIN-коды для карт Mastercard и Maestro - «Новости»

✔Исследователи научились обходить PIN-коды для карт Mastercard и Maestro - «Новости»

31 августа 2021 832 Новости / Преимущества стилей / Добавления стилей / Отступы и поля / Текст / Самоучитель CSS / Изображения / Вёрстка / Заработок / Типы носителей 0

Группа ученых из Швейцарской высшей технической школы Цюриха нашла способ обхода PIN-кодов на бесконтактных картах Mastercard и Maestro. В сущности, эта уязвимость позволяла использовать украденные карты Mastercard и Maestro для оплаты дорогих продуктов. И PIN-код при этом не понадобится.


Главная идея разработанной исследователями атаки заключается в том, что злоумышленник внедряется между украденной картой и PoS-терминалом, реализуя классический MitM-сценарий. Для этого преступнику потребуется:



  • украденная карта;

  • два Android-смартфона;

  • специальное приложение для Android, которое поможет осуществить вмешательство в поля транзакции.





Приложение должно быть установлено на обоих смартфонах, которые будут выступать в роли эмуляторов. Так, один смартфон помещается рядом с украденной картой и будет действовать как эмулятор PoS, вынуждая карту инициировать транзакцию и поделиться ее данными, тогда как второй смартфон будет действовать как эмулятор карты и используется для передачи «подправленных» данных транзакции в реальный PoS-терминал магазина.


В итоге, с точки зрения оператора PoS-терминала, такая атака практически незаметна: все выглядит так, будто клиент платит с помощью своего мобильного приложения, тогда как на самом деле мошенник передает модифицированные данные транзакции, полученные с украденной карты.


Эксперты разработали эту атаку еще в 2020 году, после того как обнаружили способ обхода PIN-кодов при бесконтактных платежах Visa. Та атака тоже позволяла злоумышленнику, который владеет данными украденной бесконтактной карты Visa, использовать карту для оплаты дорогостоящих товаров, чья цена намного превышает лимит бесконтактных транзакций. И PIN-код при этом так же не требовался.


Теперь ученые просто продолжили это исследование, и сосредоточилась на вопросе обхода PIN-кодов на других типах карт. В докладе, опубликованном в начале февраля текущего года и представленном на конференции USENIX в этом месяце, исследовательская группа сообщила, что обнаружила аналогичную проблему с бесконтактными платежами в картах Mastercard и Maestro.


Разница заключается лишь в том, что теперь, вместо того, чтобы сообщать PoS-терминалу, что PIN-код уже проверен, исследователи обманывают терминал, заставляя его думать, что входящая транзакция исходит от карты Visa, а не от Mastercard или Maestro. Осуществляется это путем изменения легитимного AID карты на AID Visa: A0000000031010.


Подмена AID активирует специфичное для Visa ядро ​​PoS-терминала, которое затем обращается к банку-эмитенту для проверки карты. На этом этапе злоумышленник просто осуществляет старую атаку, описанную еще в прошлом году, и платит за продукт, не предоставляя PIN-код.


Исследователи заявили, что успешно протестировали такую атаку с картами Mastercard Credit и Maestro, выполнив транзакции на сумму до 400 швейцарских франков во время тестов. Демонстрацию атаки можно увидеть ниже.




Эксперты обобщают, что раскрыли детали уязвимостей как представителям Visa, так и представителями Mastercard (которой также принадлежит бренд Maestro). И если Mastercard выпустила исправления еще в начале 2021 года, то Visa, похоже, до сих пор не решила эту проблему. По этой причине исследовательская группа заявила, что пока не будет публиковать свое приложение для Android, которое облегчает подобные атаки. Специалисты опасаются, что это может привести к массовым злоупотреблениям этим методом атак и их исследованиями.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Группа ученых из Швейцарской высшей технической школы Цюриха нашла способ обхода PIN-кодов на бесконтактных картах Mastercard и Maestro. В сущности, эта уязвимость позволяла использовать украденные карты Mastercard и Maestro для оплаты дорогих продуктов. И PIN-код при этом не понадобится. Главная идея разработанной исследователями атаки заключается в том, что злоумышленник внедряется между украденной картой и PoS-терминалом, реализуя классический MitM-сценарий. Для этого преступнику потребуется: украденная карта; два Android-смартфона; специальное приложение для Android, которое поможет осуществить вмешательство в поля транзакции. Приложение должно быть установлено на обоих смартфонах, которые будут выступать в роли эмуляторов. Так, один смартфон помещается рядом с украденной картой и будет действовать как эмулятор PoS, вынуждая карту инициировать транзакцию и поделиться ее данными, тогда как второй смартфон будет действовать как эмулятор карты и используется для передачи «подправленных» данных транзакции в реальный PoS-терминал магазина. В итоге, с точки зрения оператора PoS-терминала, такая атака практически незаметна: все выглядит так, будто клиент платит с помощью своего мобильного приложения, тогда как на самом деле мошенник передает модифицированные данные транзакции, полученные с украденной карты. Эксперты разработали эту атаку еще в 2020 году, после того как обнаружили способ обхода PIN-кодов при бесконтактных платежах Visa. Та атака тоже позволяла злоумышленнику, который владеет данными украденной бесконтактной карты Visa, использовать карту для оплаты дорогостоящих товаров, чья цена намного превышает лимит бесконтактных транзакций. И PIN-код при этом так же не требовался. Теперь ученые просто продолжили это исследование, и сосредоточилась на вопросе обхода PIN-кодов на других типах карт. В докладе, опубликованном в начале февраля текущего года и представленном на конференции USENIX в этом месяце, исследовательская группа сообщила, что обнаружила аналогичную проблему с бесконтактными платежами в картах Mastercard и Maestro. Разница заключается лишь в том, что теперь, вместо того, чтобы сообщать PoS-терминалу, что PIN-код уже проверен, исследователи обманывают терминал, заставляя его думать, что входящая транзакция исходит от карты Visa, а не от Mastercard или Maestro. Осуществляется это путем изменения легитимного AID карты на AID Visa: A0000000031010. Подмена AID активирует специфичное для Visa ядро ​​PoS-терминала, которое затем обращается к банку-эмитенту для проверки карты. На этом этапе злоумышленник просто осуществляет старую атаку, описанную еще в прошлом году, и платит за продукт, не предоставляя PIN-код. Исследователи заявили, что успешно протестировали такую атаку с картами Mastercard Credit и Maestro, выполнив транзакции на сумму до 400 швейцарских франков во время тестов. Демонстрацию атаки можно увидеть ниже. Эксперты обобщают, что раскрыли детали уязвимостей как представителям Visa, так и представителями Mastercard (которой также принадлежит бренд Maestro). И если Mastercard выпустила исправления еще в начале 2021 года, то Visa, похоже, до сих пор не решила эту проблему. По этой причине исследовательская группа заявила, что пока не будет публиковать свое приложение для Android, которое облегчает подобные атаки. Специалисты опасаются, что это может привести к массовым злоупотреблениям этим методом атак и их исследованиями.
CSS
запостил(а)
Waller
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: