Nalezena zranitelnost u karet Visa: Pozor na platební limity, pomůže SMS upozornění

Objevená chyba umožňuje kybernetickým útočníkům obejít platební limity nastavené na bezkontaktních kartách. Je jedno, zda se jedná o kartu debetní či kreditní.

Chyba objevená výzkumníky Leigh-Anne Gallowayovou a Timem Yunusovem z Positive Technologies se týká pouze debetních a kreditních karet Visa; není jasné, zda všech, nebo pouze testovaného vzorku, avšak zranitelnost je zřejmě velmi rozsáhlá.

Bezpečnostní inženýři otestovali u pěti hlavních britských bank a úspěšně prolomili 30librový limit na bezkontaktní platby u všech testovaných karet Visa, nehledě na banku a platební terminál, který použili.

Co je horší: Během testování výzkumníci zjistili, že stejný útok je možné provést i u karet a terminálů mimo území Velké Británie; mohly by tak platit i na běžný 500korunový (nebo jiný) limit, standardně nastavený u bezkontaktních karet v České republice. Nad tento limit – případně nad limit určitého počtu plateb (obvykle 5) – je nutné zadávat PIN.

Obrázek: Nalezena zranitelnost u karet Visa: Pozor na platební limity, pomůže SMS upozornění

Bezkontaktní platby jde zneužít

Jde o důležité zjištění, peněžní ztráty způsobené odcizením karty a následnými bezkontaktními platbami jsou na vzestupu. Identifikační limity stanovené výší platby nebo dle jejich počtu mají právě před podobnou situací zákazníky a banky chránit. Jdou-li obejít, což výzkumníci jasně dokazují, je zaděláno na problém.

Útok funguje pomocí manipulace dvou datových toků, které probíhají mezi kartou a terminálem během bezkontaktní platby. Pokud je vyžadována dodatečná autentizace, nutná v případě překonání předem stanovené částky nebo při předem dané platbě v řadě, karta terminálu zakáže platbu provést bez zadání PINu; terminál si zároveň toto ověření vyžádá.

Zařízení, které vědci otestovali, dokáže obě tyto části komunikace obelstít, funguje na principu man-in-the-middle. Zařízení sdělí kartě, že dodatečná autentizace zákazníka není nutná a terminálu, že bylo provedeno ověření jiným způsobem.

Útok je možný z důvodu toho, že Visa nevyžaduje po vydavatelích karet to, aby bez minimální úrovně verifikace blokovali platby.

Zasunutí platební karty Visa do bankomatu

Pomůže obezřetnost a dvoufázové ověření

Bohužel je možné útok aplikovat i na mobilní peněženky, kupříkladu GPay, které mají Visa kartu přidánu. Případný útočník navíc může odcizit částku v limitu 30 liber i bez odemčení smartphonu oběti.

Odhalení výzkumníků primárně ukazuje důležitost dodatečného zabezpečení, o které se musí postarat banky samy. Neměly by spoléhat pouze na obranné mechanismy vydavatelů karet, ať už jde o Visu nebo Mastercard (což jsou v našich podmínkách jediní dva rozšíření poskytovatelé platebních karet).

Podvody související s bezkontaktními platbami jsou obecně na vzestupu.

Výzkumníci doporučují, aby zákazníci bank s kartami Visa pečlivě sledovali svá vyúčtování kvůli možným podvodům a ideálně zavedli dodatečná bezpečnostní opatření, ideálně bankou stanovené limity nebo SMS upozornění či dvoufázové ověření. To je samozřejmě méně pohodlné, ale výrazně bezpečnější.

zasunutí debetní nebo kreditní karty Mastercard do platebního terminálu

Taková opatření jsou naštěstí v českém prostředí běžná. Je to vždy souboj mezi pohodlností a bezpečností, často však vítězí možnost číslo jedna.

Obzvláště SMS upozornění při platbě může řešit velmi palčivý problém spočívající ve včasném ohlášení podvodné transakce bance. Ta v takovém případě může být schopna platbu zmrazit. Je dobré si občas projít internetové bankovnictví vaší banky a zaměřit se na bezpečnostní prvky, které u svých karet využíváte.

Jistou ochranou proti této konkrétní zranitelnosti je rovněž nemít kartu s možností bezkontaktní platby.

Proces prolomení bezpečnosti nebo informace o zařízení samotném samozřejmě výzkumníci dále neposkytli.

Zdroj: HelpNetSecurity

3 Komentářů
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
František Mlejnek

Tomuhle já vůbec nerozumím. Pokud to jde, tak bezkontaktní kartou platím jen do výše 500 Kč, protože při zadávání PINU se často pletu, pokud si včas nenasadím u pokladny brýle a nevidím na strojek. To jako že někdo může zjistit PIN mé karty a změnit její limit? Co to je… Číst více »

JoVym

Jestli to chápu správně, tak je k tomu nutné spec zařízení, které kartě sdělí, že není potřeba ověřovat a terminálu, že bylo ověřeno jinak a pak se transakce schválí… Takže PIN nevyčtou a ani nijak nezmění limit, zařídí si to, že při vyšší částce PIN nepotřebují, oblbnou katru i terminál… Číst více »

Obrázek: Amazon představil první čtečku Kindle se stylusem a budík mapující spánek
Amazon představil první čtečku Kindle se stylusem a budík mapující spánek
Obrázek: Hledáte výkonný notebook pro kreativní vyžití? Řada Studio je špičkou v oboru
Hledáte výkonný notebook pro kreativní vyžití? Řada Studio je špičkou v oboru
Obrázek: Jak na škody způsobené umělou inteligencí? EU upraví legislativu
Jak na škody způsobené umělou inteligencí? EU upraví legislativu
Obrázek: Darth Vader dostal zpět svůj původní hlas. Díky umělé inteligenci
Darth Vader dostal zpět svůj původní hlas. Díky umělé inteligenci
Obrázek: Co je to spyware a jak se proti němu bránit?
Co je to spyware a jak se proti němu bránit?
Obrázek: BeReal: Jak funguje sociální síť bez přetvářky?
BeReal: Jak funguje sociální síť bez přetvářky?
Obrázek: Přečtěte si příchozí zprávu, aniž by to kdokoliv věděl
Přečtěte si příchozí zprávu, aniž by to kdokoliv věděl
Obrázek: Jak zmizet z internetu beze stopy?
Jak zmizet z internetu beze stopy?