Два смартфони, карта і спецдодаток: з’явився метод обходу PIN-коду кредиток

Дослідники з Швейцарської вищої технічної школи Цюріха виявили уразливість, за допомогою якої можливо обійти PIN-коди для безконтактної оплати Visa і здійснювати дорогі покупки, що виходять за межу безконтактної транзакції без необхідності введення PIN-коду.

За словами вчених, атака зовсім непомітна і може бути сприйнята так, ніби покупець платить за товар за допомогою мобільного/цифрового гаманця, встановленого на смартфоні, хоча насправді оплата здійснюється за допомогою вкраденої безконтактної картки Visa, захованої у зловмисника.

Для успішної атаки злочинцеві потрібно два Android-смартфона, спеціальний мобільний додаток і безконтактна картка Visa. На одному смартфоні додаток працює в якості емулятора карти, а на другому – PoS-терміналу. При цьому емулятор PoS-терміналу повинен знаходитися поблизу карти, а другий смартфон (емулює карту) використовується для оплати покупок.

Суть атаки в тому, що PoS-емулятор запитує карту, модифікує дані транзакції (вказуючи, що введення PIN-коду не потрібно), а потім передає інформацію через Wi-Fi іншому смартфону, з якого і відбувається оплата без PIN-коду.

Як пояснили дослідники, розроблений ними додаток не вимагає прав суперкористувача. Експерти вже протестували свій метод на смартфонах Huawei і Google Pixel у реальних магазинах. Вони змогли успішно обійти PIN-коди карт Visa Credit, Visa Electron і VPay.

https://youtu.be/JyUsMLxCCt8

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як захиститися від незаконного криптомайнінгу?

Як швидко знайти системні налаштування у Windows 10? – ІНСТРУКЦІЯ

Як допомогти Gmail розпізнавати спам та заблокувати небажані листи?

10 кращих додатків для обміну повідомленнями на Android

Як поділитися своїм місцезнаходженням з друзями на iOS і Android? ІНСТРУКЦІЯ

Як відформатувати текст у Google Таблицях? ІНСТРУКЦІЯ

Фішингову кампанію з використанням бренду Netflix виявили фахівці з кібербезпеки. Зловмисники розсилають користувачам листи з повідомленням про заборгованість і вимогою змінити платіжні дані для продовження підписки.

Також сервіс “Карти” від Google зараз активно удосконалюють, щоб полегшити розрізнення природних особливостей навколишнього середовища – щоб люди могли побачити з великою точністю, де розташовані гірські крижані шапки, пустелі, пляжі чи густі ліси. За даними Google, нові “Карти” будуть доступні у 220 країнах та окремих територіях, які зараз підтримуються програмою – “від найбільших мегаполісів до малих селищ”.

Зверніть увагу, щойно відкритий дослідниками P2P-ботнет уразив щонайменше 500 урядових та корпоративних серверів SSH протягом 2020 року.  Фірма з кібербезпеки Guardicore опублікувала дослідження FritzFrog, однорангового (P2P) ботнету, який було виявлено за допомогою устаткування компанії з січня цього року.

До речі, Huawei підтвердила, що Android-пристрої її виробництва як і раніше будуть отримувати оновлення функціоналу та патчі безпеки. Як повідомили представники Huawei порталу Huawei Central, компанія продовжить оновлювати свої смартфони (в тому числі Honor) з передвстановленим магазином додатків Google Play і Huawei Mobile Services.

Microsoft випустила позапланове оновлення KB4578013, що виправляє дві уразливості підвищення привілеїв в сервісі віддаленого доступу (Windows Remote Access).