Nalezena zranitelnost u karet Visa: Pozor na platební limity, pomůže SMS upozornění

Chytrá bezpečnost, Chytrá zařízení, Chytré studie, Chytré zprávy| 3 komentáře|

Objevená chyba umožňuje kybernetickým útočníkům obejít platební limity nastavené na bezkontaktních kartách. Je jedno, zda se jedná o kartu debetní či kreditní.

Chyba objevená výzkumníky Leigh-Anne Gallowayovou a Timem Yunusovem z Positive Technologies se týká pouze debetních a kreditních karet Visa; není jasné, zda všech, nebo pouze testovaného vzorku, avšak zranitelnost je zřejmě velmi rozsáhlá.

Bezpečnostní inženýři otestovali u pěti hlavních britských bank a úspěšně prolomili 30librový limit na bezkontaktní platby u všech testovaných karet Visa, nehledě na banku a platební terminál, který použili.

Co je horší: Během testování výzkumníci zjistili, že stejný útok je možné provést i u karet a terminálů mimo území Velké Británie; mohly by tak platit i na běžný 500korunový (nebo jiný) limit, standardně nastavený u bezkontaktních karet v České republice. Nad tento limit – případně nad limit určitého počtu plateb (obvykle 5) – je nutné zadávat PIN.

Obrázek: Nalezena zranitelnost u karet Visa: Pozor na platební limity, pomůže SMS upozornění

Bezkontaktní platby jde zneužít

Jde o důležité zjištění, peněžní ztráty způsobené odcizením karty a následnými bezkontaktními platbami jsou na vzestupu. Identifikační limity stanovené výší platby nebo dle jejich počtu mají právě před podobnou situací zákazníky a banky chránit. Jdou-li obejít, což výzkumníci jasně dokazují, je zaděláno na problém.

Útok funguje pomocí manipulace dvou datových toků, které probíhají mezi kartou a terminálem během bezkontaktní platby. Pokud je vyžadována dodatečná autentizace, nutná v případě překonání předem stanovené částky nebo při předem dané platbě v řadě, karta terminálu zakáže platbu provést bez zadání PINu; terminál si zároveň toto ověření vyžádá.

Zařízení, které vědci otestovali, dokáže obě tyto části komunikace obelstít, funguje na principu man-in-the-middle. Zařízení sdělí kartě, že dodatečná autentizace zákazníka není nutná a terminálu, že bylo provedeno ověření jiným způsobem.

Útok je možný z důvodu toho, že Visa nevyžaduje po vydavatelích karet to, aby bez minimální úrovně verifikace blokovali platby.

Zasunutí platební karty Visa do bankomatu

Pomůže obezřetnost a dvoufázové ověření

Bohužel je možné útok aplikovat i na mobilní peněženky, kupříkladu GPay, které mají Visa kartu přidánu. Případný útočník navíc může odcizit částku v limitu 30 liber i bez odemčení smartphonu oběti.

Odhalení výzkumníků primárně ukazuje důležitost dodatečného zabezpečení, o které se musí postarat banky samy. Neměly by spoléhat pouze na obranné mechanismy vydavatelů karet, ať už jde o Visu nebo Mastercard (což jsou v našich podmínkách jediní dva rozšíření poskytovatelé platebních karet).

Podvody související s bezkontaktními platbami jsou obecně na vzestupu.

Výzkumníci doporučují, aby zákazníci bank s kartami Visa pečlivě sledovali svá vyúčtování kvůli možným podvodům a ideálně zavedli dodatečná bezpečnostní opatření, ideálně bankou stanovené limity nebo SMS upozornění či dvoufázové ověření. To je samozřejmě méně pohodlné, ale výrazně bezpečnější.

zasunutí debetní nebo kreditní karty Mastercard do platebního terminálu

Taková opatření jsou naštěstí v českém prostředí běžná. Je to vždy souboj mezi pohodlností a bezpečností, často však vítězí možnost číslo jedna.

Obzvláště SMS upozornění při platbě může řešit velmi palčivý problém spočívající ve včasném ohlášení podvodné transakce bance. Ta v takovém případě může být schopna platbu zmrazit. Je dobré si občas projít internetové bankovnictví vaší banky a zaměřit se na bezpečnostní prvky, které u svých karet využíváte.

Jistou ochranou proti této konkrétní zranitelnosti je rovněž nemít kartu s možností bezkontaktní platby.

Proces prolomení bezpečnosti nebo informace o zařízení samotném samozřejmě výzkumníci dále neposkytli.

Zdroj: HelpNetSecurity

O autorovi

David Slouka

Autor je vystudovaný novinář a překladatel se specializací na informační technologie a hry; píše mimo jiné pro Computerworld či prg.ai. Spolupracuje se společností Wargaming, o firmě a jejích produktech tudíž nepíše.

Odebírat
Upozornit na
guest
3 Komentářů
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments

Příbuzné příspěvky

Obrázek: Překlad psího štěkotu a záchodový držák na smartphone? Nejlepší aprílové žertíky ze světa technologií v roce 2025
Překlad psího štěkotu a záchodový držák na smartphone? Nejlepší aprílové žertíky ze světa technologií v roce 2025
Obrázek: Vědci vygenerovali elektřinu díky rotaci Země. 17 mikrovoltů je extrémně málo, i tak může jít o revoluci
Vědci vygenerovali elektřinu díky rotaci Země. 17 mikrovoltů je extrémně málo, i tak může jít o revoluci
Obrázek: Vědci vyvinuli první operační systém pro kvantové sítě
Vědci vyvinuli první operační systém pro kvantové sítě
Obrázek: Displeje ohebné či natahovací? Z mnoha konceptů se do reálu podívá jen hrstka
Displeje ohebné či natahovací? Z mnoha konceptů se do reálu podívá jen hrstka
Obrázek: Další krabičku nepotřebujete: Překladač do kapsy zdarma nahradíte mobilním telefonem
Další krabičku nepotřebujete: Překladač do kapsy zdarma nahradíte mobilním telefonem
Obrázek: Vyzdobte si chaty ve WhatsAppu: Nová funkce udělá vaši komunikaci zábavnější a přehlednější
Vyzdobte si chaty ve WhatsAppu: Nová funkce udělá vaši komunikaci zábavnější a přehlednější
Obrázek: Podvod s investicemi aneb Jak jsem podvodníkům poslal peníze a nechal se dobrovolně okrást
Podvod s investicemi aneb Jak jsem podvodníkům poslal peníze a nechal se dobrovolně okrást
Obrázek: Větrák na topení ušetří za energie a zrychlí vyhřátí místnosti: Lidé objevují nový trik s PC ventilátorem
Větrák na topení ušetří za energie a zrychlí vyhřátí místnosti: Lidé objevují nový trik s PC ventilátorem