Использование бесконтактного способа оплаты товаров и услуг банковскими картами стало привычным и обыденным. Кажется, что вопросы безопасности тщательно проработаны, а каждая транзакция надежно защищена. Кроме того, в качестве дополнительной защиты от действий мошенников устанавливаются сравнительно небольшие лимиты на списания без ввода пин-кода. Таким образом, расплатиться чужой картой за дорогой товар не получится.
Однако, команда ученых из Швейцарии опровергла это утверждение. Исследователи нашли слабое место в платежной системе Visa и продемонстрировали, что расплачиваться за дорогостоящие покупки можно, не вводя пин-код. Осуществление такой атаки ничем не выдает мошенников – все выглядит так, как будто человек просто расплачивается при помощи цифрового кошелька, установленного в смартфоне. На самом же деле он использует данные чужой банковской карты.
https://youtu.be/JyUsMLxCCt8
Чтобы «провернуть» такую атаку, требуется два смартфона с установленным специальным ПО, POS-терминал и, конечно, бесконтактная карта Visa в кармане. Один из смартфонов будет выступать, как эмулятор POS, второй, как эмулятор самой карты. Эмулятор POS запрашивает у карты разрешение на выполнение операции и, получив одобрение, меняет детали транзакции так, что исчезает необходимость ввода пин-кода. В результате злоумышленник просто подносит к терминалу торговой точки второй смартфон (на самом деле эмулятор карты), расплачивается, получает товар и уходит.
Схема работает не только на бумаге и в лаборатории. Она уже была испытана в реальных магазинах. Ученые написали письмо в платежную систему Visa с просьбой дать комментарии по поводу изложенной в нем информации. Ответ так и не был получен…
