06.11.2014, 07:36
Transakcje zbliżeniowe...szybkie i czasem wygodne, ale to nie pierwszy sygnał, że mało bezpieczne
Cytat:Płatności zbliżeniowe (nie) takie bezpieczne…
Banki twierdzą, że zgubienie karty zbliżeniowej to nie problem. W końcu każda transakcja powyżej 50 PLN wymaga PIN-u, więc zbyt wiele nie stracimy. Raz, że nie do końca jest to prawda — bo w przypadku kradzieży i nabicia transakcji zbliżeniowych na kradzionej karcie, większość banków wymaga od klienta-ofiary udziału w kosztach (por. Okradli go przez karty zbliżeniowej a banki nie chcą oddać pieniędzy), a dwa, że wszystkie na karty zbliżeniowe podatne są na ataki tzw. przedłużenia terminala (tu wystawcy kart tłumaczą, że atak nie jest groźny, bo do tej pory nikt go poza laboratorium nie przeprowadził).
Teraz jest i trzeci problem “zbliżeniówek”…
Karto, zwiększ limit transakcji …OK!
Brytyjscy badacze zauważyli, że limit transakcji zbliżeniowej można bez przeszkód zwiększać bez konieczności wpisywania PIN-u (którego złodziej nie zna). Jak? Według doświadczeń badaczy — wystarczy po prostu zmienić walutę transakcji na obcą. Badacze sugerują, że dzięki temu trickowi można wypłacać kwoty do 999 999 (w danej walucie).
W zaprezentowanym przez nich scenariuszu ataku, złodziej korzysta ze złośliwego terminala, którym może być smartphone. Transakcję z odpowiednimi parametrami przeprowadza w trybie offline, aby uniknąć wzbudzenia systemów bezpieczeństwa po stronie banku.
Ciężko na podstawie opublikowanego przez badaczy oświadczenia (które jest zapowiedzią prelekcji) wnioskować o szczegółach ataku, ale wszystko wskazuje na to, że badacze zdają się jednak zapominać, iż nabicie transakcji na terminalu nie jest jednoznaczne z natychmiastowym pozyskaniem gotówki. Często na rozliczenie trzeba (przynajmniej w Polsce) poczekać. I właśnie na etapie rozliczenia agent rozliczeniowy może wykryć i zablokować podejrzane transakcje.
Nie wiadomo też, czy polskie karty zbliżeniowe są podatne na ten atak, ale wszystko wskazuje na to, że problem jest generyczny i dotyczy technologii PayWave wykorzystywanej przez Visę. Więcej zapewne dowiemy się pojutrze, kiedy to badacze opublikują pełne wyniki swoich badań na konferencji CCS 2014.
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"