Исследователи из Кембриджского университета (Великобритания) обнаружили фундаментальную уязвимость в так называемых "чипованных" платежных картах. Ученые выяснили, что дебетовые и кредитные банковские карты, использующие протокол EMV (Europay, MasterCard, Visa), можно использовать в некоторых транзакциях без действительного PIN-кода, что открывает перед мошенниками богатые возможности для преступлений.
Исследование показало, что существует возможность создать устройство, которое может перехватывать и изменять поток данных между картой и платежным терминалом. Такое устройство может обмануть терминал и провести платеж без ввода PIN-кода. Ученым удалось провести платежи без PIN-кода с карточками шести эмитентов, в том числе Barclaycard, Co-operative Bank, Halifax, Bank of Scotland, HSBC и John Lewis.
Пока не раскрываются все подробности атаки, однако известно, что для проведения мошеннической операции достаточно поместить украденную карту в серийный считыватель карт, который умещается в рюкзаке. Перехваченные данные с украденной карты с помощью специальных программ помещаются на фальшивую карту, которая затем вставляется в платежный терминал. Фальшивая карта подает на терминал специальный сигнал, в результате чего терминал считает, что введен корректный PIN-код, хотя мошенникам совсем необязательно знать этот код – транзакция будет считаться проверенной.
Раньше чиповые карты считались гораздо более защищенными, чем карты с магнитной полосой. Данное исследование показало, что даже эти карты не могут считаться неуязвимыми, несмотря на проверку секретного PIN-кода.
Источник: SecurityLab
|
