Karty Visa z niebezpieczną luką

Leigh-Anne Galloway i Timur Yunusov, naukowcy z zajmującej się m.in. badaniem cyberzagrożeń firmy Positive Technologies, wykorzystali luki w zabezpieczeniach, aby ominąć limity weryfikacji kart zbliżeniowych Visa. Udało się to dla wszystkich sprawdzanych kart, niezależnie od terminala płatniczego. Test objął pięć głównych banków brytyjskich, jednak potencjalny atak zdaniem naukowców możliwy jest także poza Wyspami.

Przechwycona komunikacja
W Wielkiej Brytanii limit płatności zbliżeniowych wynosi 30 funtów. Tego typu ograniczenia na całym świecie służyć mają zminimalizowaniu ewentualnych strat na koncie w wyniku np. kradzieży karty i jej nieuprawnionego użycia. Powyżej ustalonego limitu płatność wymaga dodatkowej weryfikacji posiadacza karty, np. przez wprowadzenie numeru PIN lub uwierzytelnienie odcisków palców w telefonie.

Positive Technologies odkryło jednak, że zabezpieczenia te w przypadku kart Visa można obejść za pomocą urządzenia przechwytującego komunikację między kartą a terminalem płatniczym. Działa ono jak serwer proxy w ataku typu MITM (Man in the Middle). Urządzenie informuje kartę, że weryfikacja nie jest konieczna, nawet jeśli kwota jest większa niż 30 funtów. Następnie przesyła do terminala informację, że weryfikacja została już dokonana za pomocą innych środków.
Atak można też wykonać za pośrednictwem portfeli mobilnych, takich jak GPay, do których przypisano kartę Visa. Oszukańcze pobranie kwoty do 30 funtów nie wymaga nawet odblokowania telefonu komórkowego.

Zwiększyć zabezpieczenia
Odkrycie luk zdaniem naukowców wskazuje na konieczność wprowadzenia dodatkowego zabezpieczenia ze strony banku wydającego kartę. Użytkowników natomiast zachęcają oni do samodzielnego wyboru oferowanych przez bank opcjonalnych środków służących zwiększeniu bezpieczeństwa płatności, jak np. powiadomienia SMS.

fot. 123RF