Nalezena zranitelnost u karet Visa: Pozor na platební limity, pomůže SMS upozornění

Chytrá bezpečnost, Chytrá zařízení, Chytré studie, Chytré zprávy| 3 komentáře|

Objevená chyba umožňuje kybernetickým útočníkům obejít platební limity nastavené na bezkontaktních kartách. Je jedno, zda se jedná o kartu debetní či kreditní.

Chyba objevená výzkumníky Leigh-Anne Gallowayovou a Timem Yunusovem z Positive Technologies se týká pouze debetních a kreditních karet Visa; není jasné, zda všech, nebo pouze testovaného vzorku, avšak zranitelnost je zřejmě velmi rozsáhlá.

Bezpečnostní inženýři otestovali u pěti hlavních britských bank a úspěšně prolomili 30librový limit na bezkontaktní platby u všech testovaných karet Visa, nehledě na banku a platební terminál, který použili.

Co je horší: Během testování výzkumníci zjistili, že stejný útok je možné provést i u karet a terminálů mimo území Velké Británie; mohly by tak platit i na běžný 500korunový (nebo jiný) limit, standardně nastavený u bezkontaktních karet v České republice. Nad tento limit – případně nad limit určitého počtu plateb (obvykle 5) – je nutné zadávat PIN.

Obrázek: Nalezena zranitelnost u karet Visa: Pozor na platební limity, pomůže SMS upozornění

Bezkontaktní platby jde zneužít

Jde o důležité zjištění, peněžní ztráty způsobené odcizením karty a následnými bezkontaktními platbami jsou na vzestupu. Identifikační limity stanovené výší platby nebo dle jejich počtu mají právě před podobnou situací zákazníky a banky chránit. Jdou-li obejít, což výzkumníci jasně dokazují, je zaděláno na problém.

Útok funguje pomocí manipulace dvou datových toků, které probíhají mezi kartou a terminálem během bezkontaktní platby. Pokud je vyžadována dodatečná autentizace, nutná v případě překonání předem stanovené částky nebo při předem dané platbě v řadě, karta terminálu zakáže platbu provést bez zadání PINu; terminál si zároveň toto ověření vyžádá.

Zařízení, které vědci otestovali, dokáže obě tyto části komunikace obelstít, funguje na principu man-in-the-middle. Zařízení sdělí kartě, že dodatečná autentizace zákazníka není nutná a terminálu, že bylo provedeno ověření jiným způsobem.

Útok je možný z důvodu toho, že Visa nevyžaduje po vydavatelích karet to, aby bez minimální úrovně verifikace blokovali platby.

Zasunutí platební karty Visa do bankomatu

Pomůže obezřetnost a dvoufázové ověření

Bohužel je možné útok aplikovat i na mobilní peněženky, kupříkladu GPay, které mají Visa kartu přidánu. Případný útočník navíc může odcizit částku v limitu 30 liber i bez odemčení smartphonu oběti.

Odhalení výzkumníků primárně ukazuje důležitost dodatečného zabezpečení, o které se musí postarat banky samy. Neměly by spoléhat pouze na obranné mechanismy vydavatelů karet, ať už jde o Visu nebo Mastercard (což jsou v našich podmínkách jediní dva rozšíření poskytovatelé platebních karet).

Podvody související s bezkontaktními platbami jsou obecně na vzestupu.

Výzkumníci doporučují, aby zákazníci bank s kartami Visa pečlivě sledovali svá vyúčtování kvůli možným podvodům a ideálně zavedli dodatečná bezpečnostní opatření, ideálně bankou stanovené limity nebo SMS upozornění či dvoufázové ověření. To je samozřejmě méně pohodlné, ale výrazně bezpečnější.

zasunutí debetní nebo kreditní karty Mastercard do platebního terminálu

Taková opatření jsou naštěstí v českém prostředí běžná. Je to vždy souboj mezi pohodlností a bezpečností, často však vítězí možnost číslo jedna.

Obzvláště SMS upozornění při platbě může řešit velmi palčivý problém spočívající ve včasném ohlášení podvodné transakce bance. Ta v takovém případě může být schopna platbu zmrazit. Je dobré si občas projít internetové bankovnictví vaší banky a zaměřit se na bezpečnostní prvky, které u svých karet využíváte.

Jistou ochranou proti této konkrétní zranitelnosti je rovněž nemít kartu s možností bezkontaktní platby.

Proces prolomení bezpečnosti nebo informace o zařízení samotném samozřejmě výzkumníci dále neposkytli.

Zdroj: HelpNetSecurity

O autorovi

David Slouka

Autor je vystudovaný novinář a překladatel se specializací na informační technologie a hry; píše mimo jiné pro Computerworld či prg.ai. Spolupracuje se společností Wargaming, o firmě a jejích produktech tudíž nepíše.

Odebírat
Upozornit na
guest
3 Komentářů
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments

Příbuzné příspěvky

Obrázek: Umělá inteligence loví ruskou armádu. Ukrajinci ji učí rozpoznávat cíle na 2 milionech hodin záběrů z bojiště
Umělá inteligence loví ruskou armádu. Ukrajinci ji učí rozpoznávat cíle na 2 milionech hodin záběrů z bojiště
Obrázek: Dostali jste iPhone nebo Apple Watch? Tipy na příslušenství, které si musíte dokoupit
Dostali jste iPhone nebo Apple Watch? Tipy na příslušenství, které si musíte dokoupit
Obrázek: Kryty, které nežloutnou, skla skutečně chrání: Ochraňte svůj nový telefon s PanzerGlass
Kryty, které nežloutnou, skla skutečně chrání: Ochraňte svůj nový telefon s PanzerGlass
Obrázek: Průvodce výběrem notebooku do 10 000 Kč: Jaký vybrat na kancelářskou práci, filmy i dítěti do školy?
Průvodce výběrem notebooku do 10 000 Kč: Jaký vybrat na kancelářskou práci, filmy i dítěti do školy?
Obrázek: Jaké aplikace nesmí chybět v novém chytrém telefonu? Nejlepší aplikace pro Android zdarma
Jaké aplikace nesmí chybět v novém chytrém telefonu? Nejlepší aplikace pro Android zdarma
Obrázek: Čas došel, Štědrý den je tu. Tipy na dárky na poslední chvíli, které vám přijdou e-mailem
Čas došel, Štědrý den je tu. Tipy na dárky na poslední chvíli, které vám přijdou e-mailem
Obrázek: Dostali jste nový telefon? Poradíme, jak snadno přenést kontakty, zprávy a data ze starého
Dostali jste nový telefon? Poradíme, jak snadno přenést kontakty, zprávy a data ze starého
Obrázek: Tipy na last minute dárky pro fanoušky technologií, geeky a ajťáky
Tipy na last minute dárky pro fanoušky technologií, geeky a ajťáky