Бесплатно Экспресс-аудит сайта:

21.02.2021

Новая атака позволяет обойти PIN-код платежных карт MasterCard

Исследователи кибербезопасности рассказали о новой атаке, которая позволяет злоумышленникам обманом заставить платежные терминалы совершать операции с бесконтактной картой Mastercard, выдавая ее за карту Visa.

Исследование, проведенной группой ученых из Швейцарской высшей технической школы Цюриха, основано на другом исследовании атаки с обходом PIN-кода, позволяющей использовать украденную кредитную карту жертвы с поддержкой Visa EMV для получения денежных средств и совершения покупок.

Как и в предыдущей атаке с использованием карт Visa, в рамках нового исследования эксперты также использовали опасные уязвимости в широко используемом бесконтактном протоколе EMV, только на этот раз целью оказалась карта Mastercard.

С помощью Android-приложения, которое реализует атаку «человек посередине» (MitM) поверх архитектуры релейной атаки, можно не только инициировать сообщения между терминалом и картой, но также перехватить и манипулировать коммуникациями NFC, чтобы внести несоответствие между брендом карты и платежной сетью.

Другими словами, если выпущенная карта имеет бренд Visa или Mastercard, то запрос авторизации, необходимый для упрощения транзакций EMV, направляется в соответствующую платежную сеть. Платежный терминал распознает бренд, используя комбинацию так называемого номера основного счета (PAN) и идентификатора приложения (AID), который определяет тип карты (например, Mastercard Maestro или Visa Electron), и впоследствии использует последнее для активации определенного ядра для транзакции.

Ядро EMV — набор функций, который обеспечивает всю необходимую логику обработки и данные, необходимые для выполнения контактной или бесконтактной транзакции EMV.

Атака, получившая название card brand mixup («смешение брендов карт»), использует тот факт, что эти AID не аутентифицируются для платежного терминала, позволяя обманом заставить терминал активировать некорректное ядро ​​и, соответственно, заставить банк, который обрабатывает платежи от имени продавца, принять бесконтактные транзакции с PAN и AID.

Затем злоумышленник одновременно выполняет транзакцию Visa с терминалом и транзакцию Mastercard с картой. Примечательно, что для проведения атаки преступники должны иметь доступ к карте жертвы, помимо возможности изменять команды терминала и ответы карты перед их доставкой соответствующему получателю.

Эксперты сообщили Mastercard о своих находках, и компания внедрила механизмы защиты на сетевом уровне для предотвращения таких атак.