Авторизация

Ім'я користувача:

Пароль:

Новини

Топ-новини

Фінансові новини

Фінанси

Банки та банківські технології

Страхування

Новини економіки

Економіка

ПЕК (газ та електроенергія)

Нафта, бензин, автогаз

Агропромисловий комплекс

Право

Міжнародні новини

Україна

Політика

Бізнес

Бізнес

Новини IT

Транспорт

Аналітика

Фінанси

Економіка

ПЕК (газ та електроенергія)

Нафта, бензин, автогаз

Агропромисловий ринок

Політика

Міжнародна аналітика

Бізнес

Прес-релізи

Новини компаній

Корирування

Курс НБУ

Курс валют

Курс долара

Курс євро

Курс британського фунта

Курс швейцарського франка

Курс канадського долара

Міжбанк

Веб-майстру

Інформери

Інформер курсів НБУ

Інформер курс обміну валют

Інформер міжбанківські курси

Графіки

Графік курсів валют НБУ

Графік курс обміну валют

Графік міжбанківській курс

Експорт новин

Інформація про BIN.ua

Про сайт BIN.ua

Реклама на сайті

Контакти

Підписка на новини

В бесконтактных картах Visa обнаружена серьезная уязвимость

На проходящей до конца недели в штате Аризона конференции по безопасности компьютерных систем и средств связи CCS 2014 был представлен доклад о серьёзной уязвимости новых банковских карт VISA. Она касается функции быстрого списания малых сумм без необходимости их подтверждения.

По замыслу разработчиков такие платежи должны выполняться с помощью коммуникации ближнего поля буквально в одно касание и не требовать ввода пин-кода, облегчая жизнь состоятельному владельцу. Однако автор доклада Мартин Эммс (Martin Emms) выяснил, что установленный лимит в двадцать фунтов не действует для других валют. С учётом функции автоматического пересчёта курсов, реальная сумма перевода ограничивается только техническим пределом адресации - 999999,99 в любых денежных единицах.

 Списание $999'999,99 (код валюты 0840) без подтверждения пин-кодом (фото: digitalmoney.shiftthought.co.uk).

Мартин собирает материал для докторской диссертации в Центре по изучению киберпреступности и компьютерной безопасности (CCCS) Университета Ньюкасла. Его исследование фокусируется на поиске потенциальных уязвимостей в бесконтактных платежных системах с использованием технологии NFC.

Группа Мартина смогла сымитировать POS-терминал с помощью серийно выпускаемых мобильных устройств с поддержкой NFC. В своей работе исследователи показали, что для незаметного списания с карты почти миллиона в любой валюте (кроме фунта стерлингов), похитителям не требуется даже брать её в руки. Достаточно находиться рядом и просто махнуть смартфоном с запущенной программой-эмулятором.

 Запуск эмулятора POS-терминала на смартфоне с поддержкой NFC (скриншот: Martin Emms, Budi Arief et al.)

«Используя обычный смартфон мы смогли создать эмулятор платёжного терминала, который считывает карту прямо через бумажник, - говорит Мартин. - Все процедуры проверки в данном случае выполняются на самой карте, поэтому к терминалу не предъявляется никаких специфических требований. Процесс списания выглядит совершенно легитимным и не вызывает подозрений. Вы просто вводите желаемую сумму для перевода и направляете смартфон на чей-то карман. В наших тестах вся процедура от ввода значения до подтверждения перевода занимала секунды».

Пока не сообщается о реальных случаях кражи средств с бесконтактных карт при помощи найденной уязвимости, однако её устранение займёт некоторое время, в течение которого владельцам таких карт VISA следует быть особенно осторожными и почаще контролировать свои расходы.

 Успешное списание 999999 евро (код валюты: 0978) эмулятором терминала (скриншот: Martin Emms / Newcastle University).

Банковские системы безопасности не опираются только на технические средства. Помимо систем мониторинга транзакций большое значение для их стабильной работы имеют общие правила предоставления услуг. К примеру, автоматический запрос на перевод крупной суммы может потребовать дополнительной ручной проверки - вплоть до звонка клиенту.

В то же время, списывать деньги с карты преступники могут и малыми суммами при помощи методов, основанных на социальном инжиниринге и технических модификациях. Первый вариант требует физического присутствия рядом с жертвой в любом людном месте, где предполагается безналичная оплата. Также можно просто найти предлог, под которым жертва потянулась бы к своему бумажнику, демаскируя его положение. Многие хранят в них фотографии, карты лояльности, парковочные талоны... поводов заставить открыть его хоть отбавляй.

 Схема снятия и обналичивания денежных средств с бесконтактных банковских карт (изображение: Martin Emms).

Первые бесконтактные карты были представлены на выставке в Сеуле ещё в 1995 году. Однако в международные платёжные системы они стали внедряться только спустя десять лет. Из повседневного опыта многие знают, что на практике бесконтактные карты часто требуется поднести вплотную к считывателю для повышения качества связи и скорости передачи данных. Однако по стандарту ISO/IEC 18092:2013 протокол NFCIP 1 позволяет выполнять бесконтактный обмен на расстоянии до двадцати сантиметров.

Альтернативный стандарт ISO/IEC 15693 предусматривает взаимодействие уже на расстоянии до полуметра. Это значит, что даже без дополнительных ухищрений незаметную кражу можно выполнить и в тех случаях, когда владелец не достаёт карту. Присесть или встать рядом с жертвой так, чтобы её сумка или внутренний карман оказались как можно ближе на пару секунд - что может быть проще?

Дополнительно атаки могут развиваться в сторону увеличения радиуса действия. Для этого потребуется модифицировать устройство, имитирующее POS-терминал. Например, изготовив рамочную антенну с большим коэффициентом усиления или повысив магнитную индукцию за счёт эффекта резонанса. «Если мы догадались, как сделать это, то злоумышленники тоже смогут», - резюмирует свой доклад Мартин.

За матеріалами: Компьютерра
Ключові теги: Visa
Новина відредагована: 06.11.14
Причина: Новость дополнена подробностями
 

ТЕГИ

Курс НБУ на 20.12.2024
 
за
курс
uah
%
USD
1
41,9292
 0,0244
0,06
EUR
1
43,5770
 0,3811
0,87

Курс обміну валют на 20.12.24, 10:15
  куп. uah % прод. uah %
USD 41,5129  0,09 0,22 42,1729  0,06 0,13
EUR 43,3063  0,22 0,51 44,0913  0,19 0,43

Міжбанківський ринок на 20.12.24, 11:33
  куп. uah % прод. uah %
USD 41,8500  0,08 0,19 41,8700  0,08 0,19
EUR -  - - -  - -

ТОП-НОВИНИ

ПІДПИСКА НА НОВИНИ

 

Бізнес