НовостиТехнологии

Ваши финансы в опасности

Чже Чжоу, профессор Фуданьского университета, что в Китае, сообщил об уязвимостях, которым подвержены три популярные системы оплаты.

Материал, представленный в статье, не является инструкцией по краже денежных средств со счетов других людей. Материал написан с целью информирования пользователей. Кража денежных средств с карт является противозаконным действием и преследуется по закону!

Профессор объясняет, что во время оплаты смартфонами, устройства создают специальные ключи, которые передаются на терминал бесконтактной оплаты (PoS-терминал). Сами ключи никак не шифруются и вдобавок к этому, они ещё и не привязываются к платежам, то есть их можно использовать неоднократно. Пример ситуации: вы оплачиваете покупку на условные 100 рублей. Злоумышленник перехватывает ключ и впоследствии при оплате покупки на n-ую сумму рублей он подменяет этот ключ. Оплата проходит, а деньги списываются не с банковской карты злоумышленника, а с вашей.




Системы, которые подвержены уязвимости

В первую очередь перехвату платежных токенов подвержены терминалы, которые используют технологию Magnetic Secure Transmission (MST). Данный тип платежных терминалов имитирует наличие магнитной полосы на банковской карте, и они передают импульсы, издаваемые вашим устройством при оплате на расстояние до 7 сантиметров. При этом злоумышленники способны использовать девайс для считывания волн на расстоянии до 2-х метров. Таким образом стоящий сзади вас преступник может попросту украсть ключ оплаты. Профессор не сообщает название устройства по понятной на то причине, но уверяет, что такой аппарат стоит не дороже 25 долларов.

Подобной атаке подвержены аппараты с передачей данных при помощи звуковых волн. Так, например, для взлома терминала с системой Google Tez хакеры могут воспользоваться специальной “глушилкой” для блокировки сигнала. А неотправленный при оплате ключ можно перехватить и применить в своих интересах.

Однако есть терминалы, которые в качестве ключа оплаты используют QR-коды. Такой ключ оплаты украсть посложнее: сначала нужно внедрить вирус в устройство пользователя, а затем при помощи камеры зараженного устройства сфотографировать тот самый ключ. Таким образом рабочий код будет перехвачен, а на терминал будет отправлен вариант с модифицированной конфигурацией. Измененный код можно использовать для распространения вируса при совершении платежей между двумя смартфонами.

Решение проблемы

Разработчикам систем оплаты Чже Чжоу посоветовал внедрить систему шифрования и использование одноразовых токенов. Его совету уже последовали разработчики одного китайского приложения, название приложения не разглашается.




Совет от редактора

Если вы заботитесь о сохранности своих данных, то лучше проверьте своё устройство на наличие на нем зараженных приложений и вирусов. Рекомендую также использовать для оплаты банковскую карточку с технологией PayPass или же отказаться от MST-технологии на смартфоне, а пользоваться старым добрым NFC.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Михаил Полярус

IT-журналист, стример, обзорщик, немного идиот и просто плохой парень

СОВЕТУЕМ ПРОЧЕСТЬ

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Back to top button

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: