Уязвимость: Сумму в иностранной валюте можно украсть с бесконтактной карты Visa без ввода пароля
Исследователи Университета Ньюкасла в Великобритании обнаружили уязвимость в современных бесконтактных картах Visa в рамках тестирования микрочипов карт. Бесконтактные карты позволяют проводить транзакции с помощью легкого касания картой терминала, не вставляя ее в слот. Предполагается, что покупатель может совершать транзакцию без подтверждения паролем в пределах определенной суммы. Однако проверка этой суммы осуществляется только в национальной валюте. Если списание делается в иностранной валюте, то любая сумма в пределах 999999,99 может быть проведена без ввода пароля. Таким образом, получается, что украденная карта дает возможность преступнику без проблем воспользоваться средствами.
Выступая со своим исследованием на конференции CCS 2014 в Аризоне, ученые отметили, что созданный ими с помощью обычного смартфона терминал может считывать чужую пластиковую карту из кармана, сумки или кошелька. Транзакция суммы до 20 фунтов занимает меньше секунды.
Антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин предполагает: «Основываясь на опыте: есть большие сомнения, что уязвимость находится в самом чипе. Поэтому нет разницы, выпущена карта или нет, дело в алгоритме бесконтактной транзакции - скорее всего, проблема с безопасностью заложена в нем, и устранять ее будут на уровне выше, а не в чипе карты».
Исследователи не проводили полное тестирование и предполагают, что на стороне банков системы безопасности способны противостоять подобным схемам, однако считают найденный изъян потенциально опасным, особенно в международных аэропортах и других зонах, где многочисленные транзакции в разных валютах не вызывают подозрений.
Представители Visa Europe прокомментировали ситуацию, отметив, что в реальных условиях, когда все стороны используют средства безопасности, воспроизвести подобную схему маловероятно.
«Переход от контактных карт к бесконтактным напоминает появление беспроводных сетей, – поясняет Аркадий Прокудин, заместитель руководителя Центра компетенции информационной безопасности компании «АйТи». – Когда у нас информация передается по воздуху на расстоянии, и мы не можем для нее создать так называемую «контролируемую зону», появляется реальная угроза потерять эту информацию. Для совершения операции оплаты необходимо ввести PIN-код карты, но исследователи смогли обойти эту необходимость. Используя определенную технику получения данных по радиоканалу, можно получить доступ к информации, хранящейся на карте, таким образом пропадает необходимость красть карты».
Бесконтактные карты Visa payWave с технологией NFC (коммуникации ближнего поля – Near Field Communication) были запущены платежной системой еще в 2004 г., однако не сразу стали популярными. Аналогами от крупных платежных систем являются MasterCard PayPass и ExpressPay от American Express. По информации BBC, сейчас в обороте находятся более 48 млн бесконтактных карт. Сумму, в пределах которой можно произвести оплату без подтверждения пин-кодом или подписью, рекомендует для каждой страны платежная система и устанавливает банк-эмитент. В России такая сумма составляет i1000 .
