Ερευνητές της εταιρείας Positive Technologies ισχυρίζονται ότι έχουν ανακαλύψει ευπάθειες στα συστήματα προστασίας των καρτών Visa που επιτρέπουν στους χάκερ να παρακάμψουν τα όρια πληρωμής στις κάρτες που λειτουργούν ανέπαφα. Οι ερευνητές υποστηρίζουν ότι εξέτασαν την επίθεση με πέντε μεγάλες βρετανικές τράπεζες, παρακάμπτοντας επιτυχώς το όριο των ανέπαφων συναλλαγών (στην Αγγλία είναι £30,), τονίζοντας ότι η επίθεση ήταν επιτυχής με όλες τις κάρτες Visa που ελέγχθηκαν, ανεξάρτητα από το τερματικό μέσω του οποίου πραγματοποίηθηκαν.
Τι σημαίνει αυτό, ότι κακόβουλοι hackers θα μπορούσαν να υποκλέψουν ανέπαφα από την κάρτα μας μεγαλύτερο ποσό από το όριο που έχει θέσει η τράπεζα. Στη χώρα μας το όριο για ανέπαφες συναλλαγές (χωρίς την χρήση PIN) είναι 25 ευρώ ανά συναλλαγή.
Η επίθεση λειτουργεί με το χειρισμό των δύο πεδίων δεδομένων που ανταλλάσσουν η κάρτα και το τερματικό, όταν το όριο περάσει της £30 και απαιτείται η επιβεβαίωση της πληρωμής. Οι ερευνητές κατάφεραν να παρακάμψουν τον έλεγχο χρησιμοποιώντας μία συσκευή που ενεργεί ως πληρεξούσιος και παίρνει τη θέση του ανθρώπου, διακόπτοντας την επικοινωνία μεταξύ κάρτας και τερματικού.
Πώς λειτουργεί όλο αυτό; Αρχικά, η συσκευή λέει στην κάρτα ότι η επαλήθευση δεν είναι απαραίτητη, παρόλο που το ποσό είναι μεγαλύτερο από £30. Στη συνέχεια, η συσκευή λέει στο τερματικό ότι η επαλήθευση έχει ήδη γίνει με άλλο τρόπο, και εν τέλη η συναλλαγή πραγματοποιείται.
Η Positive Technologies υποστηρίζει ότι η επίθεση είναι εφικτή επειδή η Visa δεν απαιτεί από τους εμπλεκόμενους να πραγματοποιούν τους απαραίτητους ελέγχους, που θα μπλοκάρουν τις πληρωμές χωρίς να την εκτέλεση της ελάχιστης επαλήθευσης στοιχείων.
Σύμφωνα με το UK Finance, τα ποσά που υποκλέπτονται με τέτοιου είδους επιθέσεις σε κάρτες και συσκευές ανέπαφων συναλλαγών αυξήθηκαν από 6,7 εκ. λίρες Αγγλίας το 2016 σε 14 εκ. λίρες Αγγλίας το 2017. Η ίδια αναφέρει ότι μόνο στο πρώτο εξάμηνο του 2018 καταγράφηκαν απώλειες ύψους 8,4 εκ. λιρών.
Ο επικεφαλής τραπεζικής ασφάλειας της Positive Technologies, Tim Yunusov, αναφέρει ότι πρόκειται για ένα σχετικά νέο είδος απάτης και ίσως δεν αποτελεί προτεραιότητα για τις τράπεζες αυτή τη στιγμή. Επίσης, τονίζει ότι αν η όλη διαδικασία ήταν εύκολη, τότε τα ποσά απωλειών που καταγράφουν οι τράπεζες θα ήταν πολύ μεγαλύτερα.
Η ανακάλυψη αυτής της ευπάθειας τονίζει τη σημασία της πρόσθετης ασφάλειας από την εκδότρια τράπεζα και όχι από την ίδια τη Visa. Σύμφωνα με την ίδια, οι τράπεζες είναι υπεύθυνες για την ανίχνευση και το μπλοκάρισμα επιθέσεων, καθώς και την ανάπτυξη των κατάλληλων πρωτοκόλλων ασφαλείας, κι όχι η Visa.
Πηγή: Techblog.gr