Уязвимости бесконтактных платежей: новые риски мошенничества
Современные системы бесконтактных платежей, известные своим удобством, оказались под угрозой. Исследование, проведенное Университетом Суррея в сотрудничестве с Университетом Бирмингема, выявило критические уязвимости, позволяющие мошенникам проводить несанкционированные транзакции на крупные суммы с использованием новейших устройств.
Исследование, представленное на 34-м симпозиуме USENIX Security и предстоящем DEFCON 2025, подчеркивает, что растущая сложность бесконтактных платежей по стандарту EMV, применяемых в 90% покупок в магазинах по всему миру, создает новые лазейки для злоумышленников. Исследователи продемонстрировали, как можно обойти защитные механизмы, проводя мошеннические операции на значительные суммы. В одном из случаев платежный терминал был обманут для проведения транзакции на сумму £25,000.
За последнее десятилетие платежные системы, карточные сети, производители терминалов и мобильные платформы самостоятельно добавляли новые функции поверх стандарта EMV. Среди них – ограничения на транзакции с офлайн-терминалами (неподключенными к сети) только с мобильными устройствами, а также региональные правила ввода PIN-кода для крупных сумм.
Эти нововведения призваны повысить удобство, соответствовать местным нормативам или поддерживать проприетарные функции. Однако исследование показало, что эти функции, по отдельности или в комбинации, могут привести к ослаблению безопасности и, как следствие, к возможности совершения мошеннических платежей. Исследователям удалось обмануть терминалы, заставив их принять платеж с пластиковой карты там, где должен был быть только телефон, или провести транзакции свыше £100 без подтверждения PIN-кодом или биометрией.
Профессор Иоана Буреану отмечает: "Бесконтактные платежи стали привычными, их популярность резко возросла. С тех пор платежные системы добавляли новые функции, часто с благими намерениями, но не всегда учитывая их взаимодействие. Наше исследование показывает, что погоня за удобством иногда происходит за счет безопасности. Отрасль уже внесла исправления, но необходима лучшая координация между поставщиками, чтобы удобство не создавало новых возможностей для мошенничества".
Данное исследование является первым, выявившим критические уязвимости в офлайн-терминалах, широко используемых в розничной торговле. Исследователи обнаружили, что проприетарные ограничения и нормативные гарантии могут быть обойдены, открывая путь для мошеннических транзакций. Особенно показателен пример, когда офлайн-терминалы значительно упрощают проведение мошеннических платежей по Mastercard на большие суммы.
Была отмечена возможность так называемых атак "free lunch", когда мошенники получают дорогостоящие товары, а продавцы остаются с неоплаченными счетами. Исследовательская группа сообщила о своих выводах в 2024 году и помогла разработать исправления для некоторых из наиболее серьезных уязвимостей.
Том Чотхия добавил: "Проблемы не в ошибках компаний, а в том, как такая сложная система, как EMV, может развивать скрытые трещины при независимом добавлении новых функций. Работая вместе, мы можем закрыть эти пробелы и сделать бесконтактные платежи безопаснее для всех".
В условиях быстрого развития бесконтактных платежей и появления новых операционных моделей для мобильных POS-терминалов, результаты исследования подчеркивают острую необходимость проверки дополнительных платежных функций, выявляя скрытые риски в системах, на которые полагаются миллионы людей ежедневно.
Комментарии
Комментариев пока нет.