CASINOJOY - Ставка На Успех! Проверь Свою Удачу!


Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Исследователи научились обходить PIN-коды для карт Mastercard и Maestro
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Поиск ТОП Добавить публикацию

Исследователи научились обходить PIN-коды для карт Mastercard и Maestro

31.08.2021

Группа ученых из Швейцарской высшей технической школы Цюриха нашла способ обхода PIN-кодов на бесконтактных картах Mastercard и Maestro. В сущности, эта уязвимость позволяла использовать украденные карты Mastercard и Maestro для оплаты дорогих продуктов. И PIN-код при этом не понадобится.

Главная идея разработанной исследователями атаки заключается в том, что злоумышленник внедряется между украденной картой и PoS-терминалом, реализуя классический MitM-сценарий. Для этого преступнику потребуется:

  • украденная карта;
  • два Android-смартфона;
  • специальное приложение для Android, которое поможет осуществить вмешательство в поля транзакции.

Приложение должно быть установлено на обоих смартфонах, которые будут выступать в роли эмуляторов. Так, один смартфон помещается рядом с украденной картой и будет действовать как эмулятор PoS, вынуждая карту инициировать транзакцию и поделиться ее данными, тогда как второй смартфон будет действовать как эмулятор карты и используется для передачи «подправленных» данных транзакции в реальный PoS-терминал магазина.

В итоге, с точки зрения оператора PoS-терминала, такая атака практически незаметна: все выглядит так, будто клиент платит с помощью своего мобильного приложения, тогда как на самом деле мошенник передает модифицированные данные транзакции, полученные с украденной карты.

Эксперты разработали эту атаку еще в 2020 году, после того как обнаружили способ обхода PIN-кодов при бесконтактных платежах Visa. Та атака тоже позволяла злоумышленнику, который владеет данными украденной бесконтактной карты Visa, использовать карту для оплаты дорогостоящих товаров, чья цена намного превышает лимит бесконтактных транзакций. И PIN-код при этом так же не требовался.

Теперь ученые просто продолжили это исследование, и сосредоточилась на вопросе обхода PIN-кодов на других типах карт. В докладе, опубликованном в начале февраля текущего года и представленном на конференции USENIX в этом месяце, исследовательская группа сообщила, что обнаружила аналогичную проблему с бесконтактными платежами в картах Mastercard и Maestro.

Разница заключается лишь в том, что теперь, вместо того, чтобы сообщать PoS-терминалу, что PIN-код уже проверен, исследователи обманывают терминал, заставляя его думать, что входящая транзакция исходит от карты Visa, а не от Mastercard или Maestro. Осуществляется это путем изменения легитимного AID карты на AID Visa: A0000000031010.

Подмена AID активирует специфичное для Visa ядро ​​PoS-терминала, которое затем обращается к банку-эмитенту для проверки карты. На этом этапе злоумышленник просто осуществляет старую атаку, описанную еще в прошлом году, и платит за продукт, не предоставляя PIN-код.

Исследователи заявили, что успешно протестировали такую атаку с картами Mastercard Credit и Maestro, выполнив транзакции на сумму до 400 швейцарских франков во время тестов. Демонстрацию атаки можно увидеть ниже.

Эксперты обобщают, что раскрыли детали уязвимостей как представителям Visa, так и представителями Mastercard (которой также принадлежит бренд Maestro). И если Mastercard выпустила исправления еще в начале 2021 года, то Visa, похоже, до сих пор не решила эту проблему. По этой причине исследовательская группа заявила, что пока не будет публиковать свое приложение для Android, которое облегчает подобные атаки. Специалисты опасаются, что это может привести к массовым злоупотреблениям этим методом атак и их исследованиями.

При копировании материалов ссылка на HackZone.RU обязательна

Добавить страницу в закладки

 Детали
Категория: Уязвимости
Опубликовал: shellmann
Просмотров: 437
Проголосовало через SMS: 0
  Разместить у себя на сайте
Прямая ссылка
HTML
BBCode ссылка
BBCode ссылка с текстом

 Комментарии (оставить свой комментарий можно здесь)
Только зарегистрированные пользователи могут оставлять комментарии

Зарегистрироваться *** Авторизоваться


 Последние новости и статьи  Последние сообщения с форумов
  • Опубликован бесплатный дешифратор для вымогателя BlackByte
  • Zerodium покупает уязвимости в ExpressVPN, NordVPN и Surfshark
  • За взломом сайтов REvil стояли правоохранительные органы
  • Уязвимость ProxyToken позволяет воровать почту через Microsoft Ex...
  • T-Mobile взломали через уязвимый роутер
  • Ботнет Phorpiex прекратил работу, его исходный код выставлен на п...
  • Критическая уязвимость в Cosmos DB
  • Исследователи научились обходить PIN-коды для карт Mastercard и M...
  • WhatsApp уверяет пользователей, что Facebook не имеет доступа к и...
  • Однострочная команда в Windows 10 может повредить жесткий диск с ...

    Все новости... Все статьи... Прислать новость RSS
  • Взлом и безопасность / Программы » Re: Hasp ключ для ABC-4
  • Портал / Отзывы и предложения » Предлагаем партнерство вашему форуму.
  • Разное / Предложения работы » взлом почты
  • Разное / Предложения работы » Сервис Postman - 500 руб за получение писем и 10€ за пересыл...
  • Разное / Куплю, приму в дар » Покупка аккаунтов Uphold
  • Разное / Предложения работы » Re: Нужен Взлом сайта на DLE
  • Разное / Предложения работы » Re: Нужен Взлом сайта на DLE
  • Разное / Предложения работы » Re: Нужен Взлом сайта на DLE
  • Разное / Предложения работы » Re: Нужен Взлом сайта на DLE
  • Взлом и безопасность / Новичкам » Re: Помогите взломать gmail.com

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 1996-2020. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    contador de visitas счетчик посещений

    #{title}

    #{text}

    x

    #{title}

    #{text}