Исследователи из Швейцарской высшей технической школы Цюриха нашли способ бесконтактно совершать большие покупки по картам Visa без ввода PIN-кода. Сейчас клиенты могут оплачивать без PIN-кода лишь товары на сумму до 3000 рублей. Обнаруженная уязвимость позволяет обойти это ограничение.
Учёные говорят, что атаку можно провести незаметно. Мошенник может якобы расплачиваться за товар с помощью смартфона, но на самом деле оплата будет совершаться по украденной бесконтактной карте Visa, спрятанной на теле злоумышленника.
Уязвимость связана с недочётами в дизайне стандарта EMV и протоколе бесконтактных платежей Visa. Для атаки преступнику нужны два Android-смартфона, специальное мобильное приложение и бесконтактная карта. На одном телефоне приложение выполняет роль эмулятора карты, а на втором — PoS-терминала. Последний смартфон должен находиться вблизи карты. Вторым оплачивают покупку.
Эмулятор PoS-терминала запрашивает карту совершить платёж, затем модифицирует данные транзакции и передаёт информацию по Wi-Fi другому смартфону. С него совершается оплата без PIN-кода.
Учёные уже проверили метод на смартфонах Huawei и Google Pixel в реальных магазинах.
Источник: Ferra