Nalezena zranitelnost u karet Visa: Pozor na platební limity, pomůže SMS upozornění

Objevená chyba umožňuje kybernetickým útočníkům obejít platební limity nastavené na bezkontaktních kartách. Je jedno, zda se jedná o kartu debetní či kreditní.

Chyba objevená výzkumníky Leigh-Anne Gallowayovou a Timem Yunusovem z Positive Technologies se týká pouze debetních a kreditních karet Visa; není jasné, zda všech, nebo pouze testovaného vzorku, avšak zranitelnost je zřejmě velmi rozsáhlá.

Bezpečnostní inženýři otestovali u pěti hlavních britských bank a úspěšně prolomili 30librový limit na bezkontaktní platby u všech testovaných karet Visa, nehledě na banku a platební terminál, který použili.

Co je horší: Během testování výzkumníci zjistili, že stejný útok je možné provést i u karet a terminálů mimo území Velké Británie; mohly by tak platit i na běžný 500korunový (nebo jiný) limit, standardně nastavený u bezkontaktních karet v České republice. Nad tento limit – případně nad limit určitého počtu plateb (obvykle 5) – je nutné zadávat PIN.

Obrázek: Nalezena zranitelnost u karet Visa: Pozor na platební limity, pomůže SMS upozornění

Bezkontaktní platby jde zneužít

Jde o důležité zjištění, peněžní ztráty způsobené odcizením karty a následnými bezkontaktními platbami jsou na vzestupu. Identifikační limity stanovené výší platby nebo dle jejich počtu mají právě před podobnou situací zákazníky a banky chránit. Jdou-li obejít, což výzkumníci jasně dokazují, je zaděláno na problém.

Útok funguje pomocí manipulace dvou datových toků, které probíhají mezi kartou a terminálem během bezkontaktní platby. Pokud je vyžadována dodatečná autentizace, nutná v případě překonání předem stanovené částky nebo při předem dané platbě v řadě, karta terminálu zakáže platbu provést bez zadání PINu; terminál si zároveň toto ověření vyžádá.

Zařízení, které vědci otestovali, dokáže obě tyto části komunikace obelstít, funguje na principu man-in-the-middle. Zařízení sdělí kartě, že dodatečná autentizace zákazníka není nutná a terminálu, že bylo provedeno ověření jiným způsobem.

Útok je možný z důvodu toho, že Visa nevyžaduje po vydavatelích karet to, aby bez minimální úrovně verifikace blokovali platby.

Zasunutí platební karty Visa do bankomatu

Pomůže obezřetnost a dvoufázové ověření

Bohužel je možné útok aplikovat i na mobilní peněženky, kupříkladu GPay, které mají Visa kartu přidánu. Případný útočník navíc může odcizit částku v limitu 30 liber i bez odemčení smartphonu oběti.

Odhalení výzkumníků primárně ukazuje důležitost dodatečného zabezpečení, o které se musí postarat banky samy. Neměly by spoléhat pouze na obranné mechanismy vydavatelů karet, ať už jde o Visu nebo Mastercard (což jsou v našich podmínkách jediní dva rozšíření poskytovatelé platebních karet).

Podvody související s bezkontaktními platbami jsou obecně na vzestupu.

Výzkumníci doporučují, aby zákazníci bank s kartami Visa pečlivě sledovali svá vyúčtování kvůli možným podvodům a ideálně zavedli dodatečná bezpečnostní opatření, ideálně bankou stanovené limity nebo SMS upozornění či dvoufázové ověření. To je samozřejmě méně pohodlné, ale výrazně bezpečnější.

zasunutí debetní nebo kreditní karty Mastercard do platebního terminálu

Taková opatření jsou naštěstí v českém prostředí běžná. Je to vždy souboj mezi pohodlností a bezpečností, často však vítězí možnost číslo jedna.

Obzvláště SMS upozornění při platbě může řešit velmi palčivý problém spočívající ve včasném ohlášení podvodné transakce bance. Ta v takovém případě může být schopna platbu zmrazit. Je dobré si občas projít internetové bankovnictví vaší banky a zaměřit se na bezpečnostní prvky, které u svých karet využíváte.

Jistou ochranou proti této konkrétní zranitelnosti je rovněž nemít kartu s možností bezkontaktní platby.

Proces prolomení bezpečnosti nebo informace o zařízení samotném samozřejmě výzkumníci dále neposkytli.

Zdroj: HelpNetSecurity

avatar
1 Vlákna diskuze
2 Vláken s odpovědí
0 Sledujících
 
Komentář s nejvíce reakcemi
Nejrušnější vlákno komentářů
3 Autoři komentářů
David SloukaJoVymFrantišek Mlejnek Autoři posledních komentářů
  Odebírat  
nejnovější nejstarší nejlépe hodnocené
Upozornit na
František Mlejnek
Čtenář
František Mlejnek

Tomuhle já vůbec nerozumím. Pokud to jde, tak bezkontaktní kartou platím jen do výše 500 Kč, protože při zadávání PINU se často pletu, pokud si včas nenasadím u pokladny brýle a nevidím na strojek. To jako že někdo může zjistit PIN mé karty a změnit její limit? Co to je… Číst více »

JoVym
Čtenář
JoVym

Jestli to chápu správně, tak je k tomu nutné spec zařízení, které kartě sdělí, že není potřeba ověřovat a terminálu, že bylo ověřeno jinak a pak se transakce schválí… Takže PIN nevyčtou a ani nijak nezmění limit, zařídí si to, že při vyšší částce PIN nepotřebují, oblbnou katru i terminál… Číst více »

Blockchain a kryptoměny Chytrá domácnost Chytrá města Chytrá věda Chytrá zábava Chytrá zařízení Chytré aplikace Chytré automobily Chytré studie Chytré technologie Chytré zprávy IoT Průmysl 4.0 Tiskové zprávy
Obrázek: Skutečný Iron Man do každé firmy? Robotický oblek pro průmysl a vojáky už není sci-fi
Skutečný Iron Man do každé firmy? Robotický oblek pro průmysl a vojáky už není sci-fi
Obrázek: Vánoční soutěž o chytré fitness náramky Honor Band 5 s 24/7 měřením tepu
Vánoční soutěž o chytré fitness náramky Honor Band 5 s 24/7 měřením tepu
Obrázek: Čína nechce americké firmy, USA nechtějí čínské firmy. Vítězem jsou globální společnosti
Čína nechce americké firmy, USA nechtějí čínské firmy. Vítězem jsou globální společnosti
Obrázek: USA navzdory: Výnosy Huawei vzrostly o 23 % i přes celní válku Číny a Spojených států
USA navzdory: Výnosy Huawei vzrostly o 23 % i přes celní válku Číny a Spojených států

Za čtvrtletí od dubna do června 2019 vydělalo Huawei přes 221 miliard juanů (asi 32 miliard dolarů, resp. asi 740...

Zavřít