На секунду клонировать и обчистить карту: новое мошенничество с банкоматами

Опубликовано at 17:30
385 0

Positive Technologies обнаружили новый интересный способ, которым злоумышленники могут снимать деньги с карт Visa, даже без самой карты в руках.

Чтобы схема сработала, злоумышленникам нужно просто находиться рядом с жертвой, например, в очереди к банкомату. Дальше есть разные творческие варианты: ошенники могут, к примеру, считать платеж с карты собственным мобильным терминалом, когда владелец отвернулся. Считать платеж можно даже мобильным телефоном, переслать данные на другое устройство и провести платеж уже с него без каких-либо ограничений.

Исследователи из Positive Technologies проверили еще один способ, они использовали аппарат для перехвата и замены сообщений в канале связи между картой и считывающим устройством. В итоге эксперты смогли «убедить» карту в том, что PIN-код не нужен, хотя сумма транзакции превышала £30, а затем сообщили терминалу, что верификация уже проведена другим способом.

Любопытны детали киберобмана: при мошенничестве с двумя мобильными телефонами один телефон использовался для сбора данных карты, второй — ненадолго «клонировал» карту. Первое устройство собирает с карты так называемую криптограмму платежа, которая фактически является подписью, гарантирующей действительность будущих платежей. Криптограмма отправляется на второй телефон, который затем симулирует карту и сам процесс оплаты. Потом злоумышленники могут повторять операцию бесконечно, воспроизводя атаку с перехватом, как описано ранее.

Обновлять свои системы для пресечения махинаций Visa не планирует, т.к. такой трюк «вряд ли можно проделывать в реальной жизни». Меж тем, данные банковской ассоциации UK Finance говорят о том, что в 2018 году убытки клиентов от махинаций с бесконтактными платежами составили £19,5 млн, а в 2017-м было украдено £14 млн.

Спасением могут стать и грядущие изменения в европейском законодательстве. С сентября 2019 года европейские банки должны будут обязаны требовать PIN-код после того, что как общая сумма бесконтактных платежей за последние пять бесконтактных транзакций в один день превысит £130.

Эксперты АКБ напоминают, что ранее в этом году резонанс в России получило «живое» мошенничество, нацеленное на очереди к банкоматам: злоумышленник начинает на терминале операцию, не вставляя карту, не завершает ее и отходит. Если в течение 90 секунд карту вставляет другой клиент, то из-за бага с нее автоматически списываются средства по предыдущему запросу. Глава АКБ Евгений Лифшиц тогда заявил, что такой вид мошенничества давно распространен, а причиной, по которой оно может быть успешно, – невнимательность клиентов.

«Данное мошенничество основано на невнимательности пользователей и клиентов. Как фишинг в интернете. Это мошенничество не носило массовый характер, так как Сбербанк поменял бы уже процесс. Сейчас я думаю Сбербанку не составит труда поправить процесс во избежание данного мошенничества», – сообщил Лифшиц РИА Новости.

Читайте также на АКБ:

Каждый 5-й житель РФ имеет доступ к файлам прошлого места работы: 60% из них – конфиденциальные

Геймификация грабежа: WinPot помогает просто и весело обносить банкоматы

Самые популярные в РФ банкоматы уязвимы для атаки Black Box

Подписываемся, следим @CyberAgency

Related Post