Платежи Afrika
За последние несколько дней конференция Black Hat USA 2018 в Лас-Вегасе принесла много нового. Одним из критически важных вопросов, требующих такого открытия, являются новости от исследователей Positive Technologies Ли-Энн Гэллоуэй и Тима Юнусова, которые выступили с целью пролить свет на рост числа атак с использованием более дешевых методов оплаты.
По словам двух исследователей, хакеры нашли способ украсть информацию о кредитных картах или манипулировать суммой транзакций для кражи средств у пользователей. Им удалось разработать картридеры для дешевых мобильных платежных карт, чтобы реализовать эту тактику. Поскольку люди все чаще применяют этот новый и простой способ оплаты, они становятся главными мишенями для хакеров, которые освоили воровство через этот канал.
Два исследователя, в частности, объяснили, что уязвимости в системе безопасности в считывателях этого способа оплаты могут позволить кому-то манипулировать тем, что клиенты отображаются на экранах оплаты. Это может позволить хакеру манипулировать истинной суммой транзакции или позволить машине отображать, что платеж был неудачным в первый раз, предлагая второй платеж, который может быть украден. Два исследователя подтвердили эти утверждения, изучив недостатки безопасности в считывающих устройствах четырех ведущих торговых компаний в США и Европе: Square, PayPal, SumUp и iZettle.
Если продавец не действует таким образом со злым умыслом, другая уязвимость, обнаруженная в считывателях, может также позволить удаленному злоумышленнику украсть деньги. Галлоуэй и Юнусов обнаружили, что способ, которым считыватели использовали Bluetooth для сопряжения, не был безопасным методом, поскольку с ним не было связано уведомление о подключении или ввод / получение пароля. Это означает, что любой случайный злоумышленник в радиусе действия может перехватить соединение Bluetooth, которое устройство поддерживает с мобильным приложением и платежным сервером, чтобы изменить сумму транзакции.
Важно отметить, что два исследователя объяснили, что удаленные эксплойты этой уязвимости еще не проводились и что, несмотря на эти огромные уязвимости, эксплойты в целом еще не набрали обороты. Компании, ответственные за эти способы оплаты, были уведомлены в апреле, и, похоже, из четырех компаний Square сразу обратила на это внимание и решила прекратить поддержку своего уязвимого Miura M010 Reader.
Исследователи предупреждают пользователей, которые выбирают эти дешевые карты для оплаты, что они могут быть небезопасными. Они советуют пользователям использовать чип и пин-код, чип и подпись или бесконтактные методы вместо считывания магнитной полосы. В дополнение к этому, покупатели должны вкладывать средства в более совершенные и безопасные технологии, чтобы обеспечить надежность и безопасность своего бизнеса.
