Nalezena zranitelnost u karet Visa: Pozor na platební limity, pomůže SMS upozornění

Objevená chyba umožňuje kybernetickým útočníkům obejít platební limity nastavené na bezkontaktních kartách. Je jedno, zda se jedná o kartu debetní či kreditní.

Chyba objevená výzkumníky Leigh-Anne Gallowayovou a Timem Yunusovem z Positive Technologies se týká pouze debetních a kreditních karet Visa; není jasné, zda všech, nebo pouze testovaného vzorku, avšak zranitelnost je zřejmě velmi rozsáhlá.

Bezpečnostní inženýři otestovali u pěti hlavních britských bank a úspěšně prolomili 30librový limit na bezkontaktní platby u všech testovaných karet Visa, nehledě na banku a platební terminál, který použili.

Co je horší: Během testování výzkumníci zjistili, že stejný útok je možné provést i u karet a terminálů mimo území Velké Británie; mohly by tak platit i na běžný 500korunový (nebo jiný) limit, standardně nastavený u bezkontaktních karet v České republice. Nad tento limit – případně nad limit určitého počtu plateb (obvykle 5) – je nutné zadávat PIN.

Obrázek: Nalezena zranitelnost u karet Visa: Pozor na platební limity, pomůže SMS upozornění

Bezkontaktní platby jde zneužít

Jde o důležité zjištění, peněžní ztráty způsobené odcizením karty a následnými bezkontaktními platbami jsou na vzestupu. Identifikační limity stanovené výší platby nebo dle jejich počtu mají právě před podobnou situací zákazníky a banky chránit. Jdou-li obejít, což výzkumníci jasně dokazují, je zaděláno na problém.

Útok funguje pomocí manipulace dvou datových toků, které probíhají mezi kartou a terminálem během bezkontaktní platby. Pokud je vyžadována dodatečná autentizace, nutná v případě překonání předem stanovené částky nebo při předem dané platbě v řadě, karta terminálu zakáže platbu provést bez zadání PINu; terminál si zároveň toto ověření vyžádá.

Zařízení, které vědci otestovali, dokáže obě tyto části komunikace obelstít, funguje na principu man-in-the-middle. Zařízení sdělí kartě, že dodatečná autentizace zákazníka není nutná a terminálu, že bylo provedeno ověření jiným způsobem.

Útok je možný z důvodu toho, že Visa nevyžaduje po vydavatelích karet to, aby bez minimální úrovně verifikace blokovali platby.

Zasunutí platební karty Visa do bankomatu

Pomůže obezřetnost a dvoufázové ověření

Bohužel je možné útok aplikovat i na mobilní peněženky, kupříkladu GPay, které mají Visa kartu přidánu. Případný útočník navíc může odcizit částku v limitu 30 liber i bez odemčení smartphonu oběti.

Odhalení výzkumníků primárně ukazuje důležitost dodatečného zabezpečení, o které se musí postarat banky samy. Neměly by spoléhat pouze na obranné mechanismy vydavatelů karet, ať už jde o Visu nebo Mastercard (což jsou v našich podmínkách jediní dva rozšíření poskytovatelé platebních karet).

Podvody související s bezkontaktními platbami jsou obecně na vzestupu.

Výzkumníci doporučují, aby zákazníci bank s kartami Visa pečlivě sledovali svá vyúčtování kvůli možným podvodům a ideálně zavedli dodatečná bezpečnostní opatření, ideálně bankou stanovené limity nebo SMS upozornění či dvoufázové ověření. To je samozřejmě méně pohodlné, ale výrazně bezpečnější.

zasunutí debetní nebo kreditní karty Mastercard do platebního terminálu

Taková opatření jsou naštěstí v českém prostředí běžná. Je to vždy souboj mezi pohodlností a bezpečností, často však vítězí možnost číslo jedna.

Obzvláště SMS upozornění při platbě může řešit velmi palčivý problém spočívající ve včasném ohlášení podvodné transakce bance. Ta v takovém případě může být schopna platbu zmrazit. Je dobré si občas projít internetové bankovnictví vaší banky a zaměřit se na bezpečnostní prvky, které u svých karet využíváte.

Jistou ochranou proti této konkrétní zranitelnosti je rovněž nemít kartu s možností bezkontaktní platby.

Proces prolomení bezpečnosti nebo informace o zařízení samotném samozřejmě výzkumníci dále neposkytli.

Zdroj: HelpNetSecurity

3 Komentářů
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
František Mlejnek

Tomuhle já vůbec nerozumím. Pokud to jde, tak bezkontaktní kartou platím jen do výše 500 Kč, protože při zadávání PINU se často pletu, pokud si včas nenasadím u pokladny brýle a nevidím na strojek. To jako že někdo může zjistit PIN mé karty a změnit její limit? Co to je… Číst více »

JoVym

Jestli to chápu správně, tak je k tomu nutné spec zařízení, které kartě sdělí, že není potřeba ověřovat a terminálu, že bylo ověřeno jinak a pak se transakce schválí… Takže PIN nevyčtou a ani nijak nezmění limit, zařídí si to, že při vyšší částce PIN nepotřebují, oblbnou katru i terminál… Číst více »

Obrázek: Od 1. ledna 2025 už se eDoklady prokážete také u zdravotních pojišťoven, škol či bank
Od 1. ledna 2025 už se eDoklady prokážete také u zdravotních pojišťoven, škol či bank
Obrázek: Co kdybyste mohli ovládat zvuky kolem sebe? Vědci vyvinuli prototyp sluchátek, která to umožní
Co kdybyste mohli ovládat zvuky kolem sebe? Vědci vyvinuli prototyp sluchátek, která to umožní
Obrázek: Trump chce popustit AI uzdu, někteří jeho poradci ji však budou chtít krotit
Trump chce popustit AI uzdu, někteří jeho poradci ji však budou chtít krotit
Obrázek: NASA a SpaceX po 50 letech objevují zapomenuté technologie. Takto s 50m lodí přistanou na Měsíci
NASA a SpaceX po 50 letech objevují zapomenuté technologie. Takto s 50m lodí přistanou na Měsíci
Obrázek: Tyhle Black Friday nabídky si nenechte ujít: Nejvýhodnější neomezený tarif v ČR, Apple i směšně levná elektronika
Tyhle Black Friday nabídky si nenechte ujít: Nejvýhodnější neomezený tarif v ČR, Apple i směšně levná elektronika
Obrázek: Příběh jednoho podvodu: Koupil jsem falešná Apple sluchátka a nepoznali to ani v obchodu
Příběh jednoho podvodu: Koupil jsem falešná Apple sluchátka a nepoznali to ani v obchodu
Obrázek: Nejlepší telefon do 15 000 Kč: Ve slevových akcích pořídíte špičková zařízení
Nejlepší telefon do 15 000 Kč: Ve slevových akcích pořídíte špičková zařízení
Obrázek: Nejlepší telefony v Česku: Jaký vybrat, pokud chcete to nejlepší?
Nejlepší telefony v Česku: Jaký vybrat, pokud chcete to nejlepší?