Фахівці у галузі кібербезпеки виявили новий метод атаки, що дозволяє зловмисникам “обдурити” термінал для оплати (POS-термінал) і змусити його думати, що безконтактна картка Mastercard насправді є картою Visa.
За словами експертів, за допомогою цього вектора можна обійти захист ПІН-кодом. Відповідне дослідження опублікували співробітники Швейцарської вищої технічної школи Цюріха (ETHZ), які взяли за основу інший звіт, датований вереснем 2020 року, пише The Hacker News.
Як запевняли фахівці у вересні, зловмисники можуть використовувати вкрадені або загублені банківські карти громадян для оплати дорогих товарів, обходячи при цьому стандартний захист ПІН-кодом від операцій на великі суми.
“Насправді, ця атака серйозніша, ніж може здаватися. Наприклад, злочинці можуть використовувати цей метод для обходу захисту ПІН-кодом”, – писали дослідники.
Новий звіт показує, як зловмисники можуть використовувати “серйозні” уразливості в протоколі EMV, який прийнятий міжнародним стандартом для операцій за банківськими картками з чіпом. На цей раз в зоні ризику банківські карти, випущені Mastercard.
Згідно зі звітом фахівців, атаку можна здійснити за допомогою спеціального Android-додатку, який реалізує атаку “людина посередині” (Man-in-the-Middle, MitM). В результаті додаток зможе не тільки пересилати повідомлення між терміналом і картою, а й вдаватися до NFC-взаємодії.
Іншими словами, зловмисник використовує уразливості в процесі перевірки ідентифікатора AID терміналом. Як правило, POS визначає тип карти, грунтуючись на PAN-номері і AID.
Детальніше з методом атаки можна ознайомитися на відео, яке записали експерти:
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ
Що таке спуфінг і як запобігти атаці? ПОРАДИ
Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу
Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ
Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ
Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ
Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ
Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.
Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.
Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.
Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.
