Уязвимост в безконтактните карти на Visa позволява извършване на транзакции на големи суми без въвеждане на PIN код, алармираха по-рано този месец британски експерти.
В частност, проблемът възниква, когато транзакцията се извършва във валута, различна от националната, каквато в случая е била британската лира, уточняват специалистите от Университета в Нюкасъл.
Безконтактните карти позволяват на притежателите им да правят плащания с леко докосване на картата до терминала, без да я поставят в слота. Потребителят може да извършва транзакция до определена сума, без да потвърждава паролата. Проверката на тази сума обаче се извършва само в националната валута, посочват експертите, открили уязвимостта.
Ако плащането се прави в чужда валута, то всяка сума в рамките на 999999,99 може да бъде преведена без въвеждане на пин код. По такъв начин открадната карта дава възможност на престъпниците да се възползват безпроблемно с парите по картата.
На конференция CCS 2014 в Аризона изследователите от Нюкасъл заявиха, че от терминал, създаден с помощта на обикновен смартфон, могат да прочетат чужда безконтактна карта, докато тя е в джоба, портмонето или чантата. Транзакция за сума до 20 паунда отнема по-малко от секунда.
Разбира се, системите за сигурност от страна на банката могат да се противопоставят на подобна схема на кражба. Но във всички случаи откритата уязвимост в протокола за плащане е потенциално опасна, особено на международни летища и други зони, където транзакциите в различни валути се считат за нещо нормално.
Представители на Visa Europe, от своя страна, коментираха пред BBC, че възпроизвеждането на подобна схема е малко вероятно извън лабораторни условия, поради множеството защити в платежната система.
Безконтактните карти Visa payWave използват технология NFC и бяха пуснати още през 2004 г. Подобни услуги предлагат MasterCard (PayPass) и American Express (ExpressPay). В момента броят на безконтактните карти е над 48 милиона. Сумата, която може да се превежда без потвърждение на пин код, се препоръчва от платежната система за всяка отделна страна и се задава от банката емитент.
Време беше да се усетят.
Банковите услуги остават далеч от удобство 🙂