Новая атака позволяет обойти PIN-код платежных карт MasterCard

Admin

#1
Администратор
Joined
Dec 31, 2019
Messages
7,592
Reaction score
34
Points
48
Deposit
0
Атака позволяет злоумышленникам обманом заставить платежные терминалы совершать операции с бесконтактной картой Mastercard под видом карты Visa.

Исследователи кибербезопасности рассказали о новой атаке, которая позволяет злоумышленникам обманом заставить платежные терминалы совершать операции с бесконтактной картой Mastercard, выдавая ее за карту Visa.

Исследование, проведенной группой ученых из Швейцарской высшей технической школы Цюриха, основано на другом исследовании атаки с обходом PIN-кода, позволяющей использовать украденную кредитную карту жертвы с поддержкой Visa EMV для получения денежных средств и совершения покупок.

Как и в предыдущей атаке с использованием карт Visa, в рамках нового исследования эксперты также использовали опасные уязвимости в широко используемом бесконтактном протоколе EMV, только на этот раз целью оказалась карта Mastercard.

С помощью Android-приложения, которое реализует атаку «человек посередине» (MitM) поверх архитектуры релейной атаки, можно не только инициировать сообщения между терминалом и картой, но также перехватить и манипулировать коммуникациями NFC, чтобы внести несоответствие между брендом карты и платежной сетью.

Другими словами, если выпущенная карта имеет бренд Visa или Mastercard, то запрос авторизации, необходимый для упрощения транзакций EMV, направляется в соответствующую платежную сеть. Платежный терминал распознает бренд, используя комбинацию так называемого номера основного счета (PAN) и идентификатора приложения (AID), который определяет тип карты (например, Mastercard Maestro или Visa Electron), и впоследствии использует последнее для активации определенного ядра для транзакции.

Ядро EMV — набор функций, который обеспечивает всю необходимую логику обработки и данные, необходимые для выполнения контактной или бесконтактной транзакции EMV.

Атака, получившая название card brand mixup («смешение брендов карт»), использует тот факт, что эти AID не аутентифицируются для платежного терминала, позволяя обманом заставить терминал активировать некорректное ядро ​​и, соответственно, заставить банк, который обрабатывает платежи от имени продавца, принять бесконтактные транзакции с PAN и AID.

Затем злоумышленник одновременно выполняет транзакцию Visa с терминалом и транзакцию Mastercard с картой. Примечательно, что для проведения атаки преступники должны иметь доступ к карте жертвы, помимо возможности изменять команды терминала и ответы карты перед их доставкой соответствующему получателю.

Эксперты сообщили Mastercard о своих находках, и компания внедрила механизмы защиты на сетевом уровне для предотвращения таких атак.


Source: youtu.be/8d7UgIiMRBU
 

Members, viewing this thread

No members online now.
Back
Top