Пользуетесь бесконтактной оплатой? Тогда вам точно нужно зна | Мамкин финансист
Пользуетесь бесконтактной оплатой? Тогда вам точно нужно знать о том, что в таком способе есть дыра в безопасности. Её обнаружили эксперты швейцарского университета ETH Zurich. Если вкратце, то можно обмануть терминал, да так, что не придется вводить пин-код. Это возможно, если заставить терминал поверить в том, что для оплаты используется карта Visa, а не Mastercard.
На самом деле, суть проблемы состоит в несовершенности терминалов. Они не проверяют идентификатор AID, по которому, наряду с номером карты, распознается её тип. Следовательно, этот идентификатор можно подменить и заплатить картой Mastercard, выдавая её за карту Visa.
Эксперты университета решили наглядно показать, как это работает и разработали приложение, которое меняет идентификатор AID (только в исследовательских целях, разумеется). В результате, у них все получилось — они обошли подтверждение оплаты пин-кодом на кредитных и дебетовых картах Mastercard, выпущенных разными банками. Чтобы вы понимали масштаб проблемы: сумма одной из транзакций составила более $400.
Конечно, в платежной системе не смогли не отреагировать на это. Mastercard сразу же обязала платежные организации включать AID в данные, необходимые для авторизации. То есть, теперь AID и PAN можно сверять до проведения платежа. Кроме того, внедрены средства проверки других данных, позволяющие засечь атаку до того, как деньги будут переведены мошенниками.
Такая атака сама по себе достаточно сложная вещь. Но, используя подобные приложения, как то, что разработали исследователи из ETH Zurich, она становится очень даже практичной. Вполне вероятно, что вскоре злоумышленники придумают, как обойти новые защитные меры от Mastercard. Поэтому не забывайте, как важно тщательно хранить свои данные карт, а также помните, что при какой-либо утечке или потере карты, её всегда нужно блокировать и перевыпускать.
