Создать учетную запись? Забыли пароль?
Важные новости портала: Желаем приятного времяпровождения на нашем ресурсе. С уважением, администрация!
cloud
22
Февраля
Новая атака позволяет обойти PIN-код платежных карт MasterCard
Размещено в разделе: Главная; Год публикации: 2021

Исследователи кибербезопасности рассказали о новой атаке, которая позволяет злоумышленникам обманом заставить платежные терминалы совершать операции с бесконтактной картой Mastercard, выдавая ее за карту Visa.

Исследование, проведенной группой ученых из Швейцарской высшей технической школы Цюриха, основано на другом исследовании атаки с обходом PIN-кода, позволяющей использовать украденную кредитную карту жертвы с поддержкой Visa EMV для получения денежных средств и совершения покупок.

Как и в предыдущей атаке с использованием карт Visa, в рамках нового исследования эксперты также использовали опасные уязвимости в широко используемом бесконтактном протоколе EMV, только на этот раз целью оказалась карта Mastercard.

С помощью Android-приложения, которое реализует атаку «человек посередине» (MitM) поверх архитектуры релейной атаки, можно не только инициировать сообщения между терминалом и картой, но также перехватить и манипулировать коммуникациями NFC, чтобы внести несоответствие между брендом карты и платежной сетью.

Другими словами, если выпущенная карта имеет бренд Visa или Mastercard, то запрос авторизации, необходимый для упрощения транзакций EMV, направляется в соответствующую платежную сеть. Платежный терминал распознает бренд, используя комбинацию так называемого номера основного счета (PAN) и идентификатора приложения (AID), который определяет тип карты (например, Mastercard Maestro или Visa Electron), и впоследствии использует последнее для активации определенного ядра для транзакции.

Ядро EMV — набор функций, который обеспечивает всю необходимую логику обработки и данные, необходимые для выполнения контактной или бесконтактной транзакции EMV.

Атака, получившая название card brand mixup («смешение брендов карт»), использует тот факт, что эти AID не аутентифицируются для платежного терминала, позволяя обманомзаставить терминал активировать некорректное ядро и, соответственно, заставить банк, который обрабатывает платежи от имени продавца, принять бесконтактные транзакции с PAN и AID.

Затем злоумышленник одновременно выполняет транзакцию Visa с терминалом и транзакцию Mastercard с картой. Примечательно, что для проведения атаки преступники должны иметь доступ к карте жертвы, помимо возможности изменять команды терминала и ответы карты перед их доставкой соответствующему получателю.

Эксперты сообщили Mastercard о своих находках, и компания внедрила механизмы защиты на сетевом уровне для предотвращения таких атак.
Показать все комментарии | Поблагодарить автора
Опубликовал: Fellow
Добавление комментария:

Посетители, находящиеся в группе Гости, не могут оставлять комментарии. Авторизируйтесь!

Комментарий оставил Fellow в теме:
Microsoft создала бесплатный сервис для создания сайтов
Комментарий оставил artemka272 в теме:
Обновление MIUI 12 принесло серьёзную проблему
Комментарий оставил melllll в теме:
Топ-7 альтернативних месенджерів на заміну WhatsApp
Комментарий оставил denya75 в теме:
SSD-накопители в компьютерах Mac с чипами Apple M1 деградируют очень быстро
Комментарий оставил Fellow в теме:
SSD-накопители в компьютерах Mac с чипами Apple M1 деградируют очень быстро
Комментарий оставил denya75 в теме:
SSD-накопители в компьютерах Mac с чипами Apple M1 деградируют очень быстро
Комментарий оставил Fellow в теме:
SSD-накопители в компьютерах Mac с чипами Apple M1 деградируют очень быстро
Комментарий оставил denya75 в теме:
SSD-накопители в компьютерах Mac с чипами Apple M1 деградируют очень быстро
Комментарий оставил Fellow в теме:
SSD-накопители в компьютерах Mac с чипами Apple M1 деградируют очень быстро
Комментарий оставил Yuri в теме:
Norton Security 22.6.0.142 [Ru]
На данный момент на сайте находятся:
Пользователей: 0
Поисковых ботов: 1
Yandex Bot
Гостей: 11
Всех посетителей: 12

* Пользователь покидает список после 5 минут отсутствия на сайте.
Предупреждение! Информация, расположенная на данном сервере, предназначена исключительно для частного использования в образовательных целях и не может быть загружена/перенесена на другой компьютер. Ни владелец сайта, ни хостинг-провайдер, ни любые другие физические или юридические лица не могут нести никакой отвественности за любое использование материалов данного сайта. Входя на сайт, Вы, как пользователь, тем самым подтверждаете полное и безоговорочное согласие со всеми условиями использования. Авторы проекта относятся особо негативно к нелегальному использованию информации, полученной на сайте.