Так была ли атака: Visa рассказала о безопасности бесконтактных платежей

Портал PLUSworld.ru обратился за комментариями в пресс-службу Visa, а также к ведущим компаниям в сфере кибербезопасности (новость дополняется комментариями).

В данном случае речь идет об уязвимости в бесконтактном протоколе Visa EMV, - рассказали в пресс-службе международного разработчика антивирусных решений, компании ESET. Это причина, по которой злоумышленник может модифицировать Card Transaction Qualifiers — список поддерживаемых картой спецификаций. В нем указано, может ли карта использоваться для бесконтактной оплаты, и при каких условиях, например, до какой суммы не требуется вводить PIN-код. За счет этого появляется возможность обойти ввод PIN-кода вне зависимости от того, какой лимит установил пользователь.

Эксперты не просто протестировали возможность реализации атаки в лабораторных условиях, но и смогли успешно осуществить ее в реальных магазинах, используя свои личные карты Visa Credit, Visa Electron и V Pay.

Другую точку зрения высказали в пресс-службе Visa. Так эксперты международной платежной системы отметили, что возможные сценарии схем мошенничества с бесконтактными платежами изучаются почти 10 лет. Такие сценарии возможно смоделировать при тестировании, однако в реальной жизни их использовать мошенникам практически невозможно.

«За все это время информации о подтвержденных случаях мошенничеств, совершенных смоделированными способами, не поступало».

Также в пресс-службе подчеркнули, что использование бесконтактных карт абсолютно безопасно.

«Использование той же технологии безопасности, что и в EMV Chip, обеспечивает чрезвычайную эффективность при предотвращении мошенничества с бесконтактными картами, за счет уникального для каждой транзакции значения криптограммы, которая не дает возможности использования скомпрометированных данных для мошенничества. Держатели карт Visa могут уверенно продолжать пользоваться своими картами».

Более подробно технологию киберпреступников описал Сергей Голованов, ведущий антивирусный эксперт «Лаборатории Касперского».

«Речь идёт об обнаружении возможности обхода предустановленных лимитов, которые действуют при бесконтактной оплате банковской картой по терминалу. Когда вы оплачиваете банковской картой покупку в магазине (бесконтактно), то в общем случае вам не требуется вводить PIN-код, если покупка не превышает 1 000 рублей – в среднем это стандартная сумма лимита для карт российских банков. Если ваша покупка выходит за рамки этого лимита, то вы должны подтвердить операцию PIN-кодом. Так вот швейцарские исследователи нашли способ увеличить этот лимит таким образом, что с вашей карты можно списать хоть один, хоть двадцать миллионов – и не будет необходимости подтверждать эту операцию PIN-кодом. Почему это опасно: из-за небольших лимитов сейчас преступникам невыгодно использовать терминалы для бесконтактной оплаты в мошеннических схемах (каждый терминал легко отследить, а сумма, которую можно списать незаметно для человека слишком ограничена, то есть раньше это был высокий риск и при этом мало денег). Были неподтверждённые истории о том, как в метро ехал человек с терминалом и списывал по тысяче, просто прислоняя терминал к сумкам/карманам – так вот до этого подобная схема была крайне маловероятна. А при краже банковской карты для её использования требовалось ещё и выяснить PIN-код – и эта уязвимость позволит преступникам обойти это ограничение. Поэтому при возможности увеличения лимитов использование терминалов для бесконтактной оплаты для хищения средств становится привлекательнее для преступного сообщества».

По словам руководителя отдела анализа защищенности веб-приложений Positive Technologies, Ярослава Бабина исследователи из Швейцарии описали одну из вариаций использования уязвимости, о которой эксперты Positive Technologies сообщали еще в декабре 2019: при бесконтактной оплате гипотетический злоумышленник может «притвориться» мобильным кошельком или заставить любой терминал верифицировать операции по любой карте виза подписью, без использования PIN-кода, а может полностью отменить верификацию, и платеж будет совершен и без подписи, и без PIN-кода. Карты Visa были уязвимы к подобным атакам. Компания Visa была оповещена о проблеме в январе 2019.

По материалам PLUSworld.ru