Фінансові новини
- |
- 13.07.26
- |
- 17:05
- |
-
RSS - |
- мапа сайту
Авторизация
В бесконтактных картах Visa обнаружена серьезная уязвимость
13:09 06.11.2014 |
На проходящей до конца недели в штате Аризона конференции по безопасности компьютерных систем и средств связи CCS 2014 был представлен доклад о серьёзной уязвимости новых банковских карт VISA. Она касается функции быстрого списания малых сумм без необходимости их подтверждения.
По замыслу разработчиков такие платежи должны выполняться с помощью коммуникации ближнего поля буквально в одно касание и не требовать ввода пин-кода, облегчая жизнь состоятельному владельцу. Однако автор доклада Мартин Эммс (Martin Emms) выяснил, что установленный лимит в двадцать фунтов не действует для других валют. С учётом функции автоматического пересчёта курсов, реальная сумма перевода ограничивается только техническим пределом адресации - 999999,99 в любых денежных единицах.
Списание $999'999,99 (код валюты 0840) без подтверждения пин-кодом (фото: digitalmoney.shiftthought.co.uk).
Мартин собирает материал для докторской диссертации в Центре по изучению киберпреступности и компьютерной безопасности (CCCS) Университета Ньюкасла. Его исследование фокусируется на поиске потенциальных уязвимостей в бесконтактных платежных системах с использованием технологии NFC.
Группа Мартина смогла сымитировать POS-терминал с помощью серийно выпускаемых мобильных устройств с поддержкой NFC. В своей работе исследователи показали, что для незаметного списания с карты почти миллиона в любой валюте (кроме фунта стерлингов), похитителям не требуется даже брать её в руки. Достаточно находиться рядом и просто махнуть смартфоном с запущенной программой-эмулятором.
Запуск эмулятора POS-терминала на смартфоне с поддержкой NFC (скриншот: Martin Emms, Budi Arief et al.)
«Используя обычный смартфон мы смогли создать эмулятор платёжного терминала, который считывает карту прямо через бумажник, - говорит Мартин. - Все процедуры проверки в данном случае выполняются на самой карте, поэтому к терминалу не предъявляется никаких специфических требований. Процесс списания выглядит совершенно легитимным и не вызывает подозрений. Вы просто вводите желаемую сумму для перевода и направляете смартфон на чей-то карман. В наших тестах вся процедура от ввода значения до подтверждения перевода занимала секунды».
Пока не сообщается о реальных случаях кражи средств с бесконтактных карт при помощи найденной уязвимости, однако её устранение займёт некоторое время, в течение которого владельцам таких карт VISA следует быть особенно осторожными и почаще контролировать свои расходы.

Успешное списание 999999 евро (код валюты: 0978) эмулятором терминала (скриншот: Martin Emms / Newcastle University).
Банковские системы безопасности не опираются только на технические средства. Помимо систем мониторинга транзакций большое значение для их стабильной работы имеют общие правила предоставления услуг. К примеру, автоматический запрос на перевод крупной суммы может потребовать дополнительной ручной проверки - вплоть до звонка клиенту.
В то же время, списывать деньги с карты преступники могут и малыми суммами при помощи методов, основанных на социальном инжиниринге и технических модификациях. Первый вариант требует физического присутствия рядом с жертвой в любом людном месте, где предполагается безналичная оплата. Также можно просто найти предлог, под которым жертва потянулась бы к своему бумажнику, демаскируя его положение. Многие хранят в них фотографии, карты лояльности, парковочные талоны... поводов заставить открыть его хоть отбавляй.
Схема снятия и обналичивания денежных средств с бесконтактных банковских карт (изображение: Martin Emms).
Первые бесконтактные карты были представлены на выставке в Сеуле ещё в 1995 году. Однако в международные платёжные системы они стали внедряться только спустя десять лет. Из повседневного опыта многие знают, что на практике бесконтактные карты часто требуется поднести вплотную к считывателю для повышения качества связи и скорости передачи данных. Однако по стандарту ISO/IEC 18092:2013 протокол NFCIP 1 позволяет выполнять бесконтактный обмен на расстоянии до двадцати сантиметров.
Альтернативный стандарт ISO/IEC 15693 предусматривает взаимодействие уже на расстоянии до полуметра. Это значит, что даже без дополнительных ухищрений незаметную кражу можно выполнить и в тех случаях, когда владелец не достаёт карту. Присесть или встать рядом с жертвой так, чтобы её сумка или внутренний карман оказались как можно ближе на пару секунд - что может быть проще?
Дополнительно атаки могут развиваться в сторону увеличения радиуса действия. Для этого потребуется модифицировать устройство, имитирующее POS-терминал. Например, изготовив рамочную антенну с большим коэффициентом усиления или повысив магнитную индукцию за счёт эффекта резонанса. «Если мы догадались, как сделать это, то злоумышленники тоже смогут», - резюмирует свой доклад Мартин.
ТЕГИ
ТОП-НОВИНИ
ПІДПИСКА НА НОВИНИ
Для підписки на розсилку новин введіть Вашу поштову адресу :


До Державного бюджету України надійшли 3,35
млрд доларів у межах Першої програми політики розвитку робочих місць та
зростання приватного сектору, що реалізується спільно зі Світовим
банком.
Виробництво ракет-перехоплювачів до систем
Patriot для України відбуватиметься в Німеччині або іншій європейській
країні. Його перенесуть до України вже після завершення війни.
Президент України Володимир Зеленський заявив про підготовку оновлення Кабінету Міністрів і запропонував прем'єр-міністерці Юлії Свириденко очолити новий напрямок у відносинах із ключовим партнером.
Посол України в США Ольга Стефанішина попросила про завершення дипломатичної служби за особистих обставин.
Віцепремʼєр-міністр України з питань євроінтеграції Тарас Качка заявив,
що постійні представники держав-членів при ЄС схвалили відкриття шостого
кластера переговорів про вступ України до ЄС під назвою "Зовнішні
відносини".
Ця тилова вакансія підходить для кандидатів, що не можуть
виконувати бойові завдання у звʼязку із віком чи станом здоровʼя.
Страхова компанія VUSO (ВУСО) за
підсумками 2025 року сплатила понад 348 мільйонів гривень податків до
бюджетів усіх рівнів. Водночас загальний обсяг допомоги компанії Силам
оборони України з початку повномасштабної війни наближається до 100
мільйонів гривень.
Довідковий курс гривні до долара США на міжбанківському валютному ринку
станом на 12:00 кч 13 липня 2026 року.
Національний банк України (НБУ) минулого тижня зменшив інтервенції на
міжбанківському ринку на $273,1 млн, або на 23,9%, - до $871,2 млн,
свідчить статистика на сайті регулятора.
Курс долара США зростає у парах з євро, єною та фунтом стерлінгів у понеділок уранці.
Довідковий курс гривні до долара США на міжбанківському валютному ринку
станом на 12:00 кч 10 липня 2026 року.
Національний банк України (НБУ) з 4 вересня 2026 року введе в готівковий
обіг нову банкноту номіналом 2000 гривень, оголосив голова НБУ Андрій
Пишний під час пресбрифінгу в Києві в п'ятницю.
Курс долара США помірковано знижується у парах з євро та фунтом
стерлінгів, а щодо японської єни вранці в п'ятницю дешевшає більш
помітно.
Довідковий курс гривні до долара США на міжбанківському валютному ринку
станом на 12:00 кч 9 липня 2026 року.
Google
почав використовувати завантажені у пошук фото, аудіо й відео для
навчання своїх ШІ-моделей, і опція увімкнена в усіх за замовчуванням.
Південнокорейські дослідники розробили нову технологію виробництва
сухих електродів з гранул графіту з контрольованою формою для анодів акумуляторів електрокарів.
Із 7 липня Google змінює правила підрахунку використаного сховища для
облікових записів. Відтепер усі дані резервних копій Android
зараховуватимуться до загального ліміту пам'яті.
Компанія Motorola оголосила про запуск сервісу Global Connect,
який дозволяє користувачам отримувати доступ до мобільного інтернету
під час закордонних подорожей без необхідності шукати місцевого
оператора або встановлювати нову eSIM в кожній країні.
Поки світові автовиробники обережно дискутують про темпи переходу на
електротягу, китайська корпорація BYD продовжує агресивну експансію
інфраструктури
Вища судова інстанція Європейського Союзу - Європейський суд
справедливості (ECJ) - ухвалила остаточне рішення у справі проти
компанії Google та її материнського холдингу Alphabet.
За словами CEO Microsoft Commercial
Business Джадсона Олтгоффа, компанії вже концентруються не на тестуванні
ШІ, а на отриманні вимірюваної віддачі від інвестицій.