Хакеры могут украсть информацию о вашей кредитной карте и деньги через дефекты дешевого мобильного POS-считывателя карт

2023 Автор: Kayla Nelson | [email protected]. Последнее изменение: 2023-07-30 23:17

За последние несколько дней многое получилось на конференции Black Hat US2018 в Лас-Вегасе. Одним из критически важных вопросов, требующих такого открытия, являются новости, поступающие от исследователей Positive Technologies Ли-Энн Галлоуэй и Тима Юнусова, которые выступили с целью пролить свет на рост числа атак с использованием более дешевых методов оплаты.

По словам двух исследователей, хакеры нашли способ украсть информацию о кредитных картах или манипулировать суммой транзакций для кражи средств у пользователей. Им удалось разработать картридеры для дешевых мобильных платежных карт, чтобы реализовать эту тактику. Поскольку люди все чаще применяют этот новый и простой способ оплаты, они становятся главными мишенями для хакеров, которые освоили воровство через этот канал.

Два исследователя, в частности, объяснили, что уязвимости системы безопасности в считывателях этого метода оплаты могут позволить кому-то манипулировать тем, что клиенты отображаются на экранах оплаты. Это может позволить хакеру манипулировать истинной суммой транзакции или позволить машине отображать, что платеж не прошел в первый раз, предлагая второй платеж, который может быть украден. Два исследователя подтвердили эти утверждения, изучив недостатки безопасности в считывающих устройствах четырех ведущих торговых компаний в США и Европе: Square, PayPal, SumUp и iZettle.

Если продавец не будет действовать таким образом со злым умыслом, другая уязвимость, обнаруженная в считывателях, также может позволить удаленному злоумышленнику украсть деньги. Галлоуэй и Юнусов обнаружили, что способ, которым считыватели использовали Bluetooth для сопряжения, не был безопасным методом, поскольку с ним не было связано уведомление о подключении или ввод / извлечение пароля. Это означает, что любой случайный злоумышленник в пределах досягаемости может перехватить соединение Bluetooth, которое устройство поддерживает с мобильным приложением и сервером платежей, чтобы изменить сумму транзакции.

Важно отметить, что два исследователя объяснили, что удаленные эксплойты этой уязвимости еще не проводились и что, несмотря на эти огромные уязвимости, эксплойты в целом еще не набрали обороты. Компании, ответственные за эти способы оплаты, были уведомлены в апреле, и, похоже, из четырех компаний Square сразу обратила на это внимание и решила прекратить поддержку своего уязвимого MiurM010 Reader.

Исследователи предупреждают пользователей, которые выбирают эти дешевые карты для оплаты, что они могут быть небезопасными. Они советуют пользователям использовать чип и пин-код, чип и подпись или бесконтактные методы вместо считывания магнитной полосы. В дополнение к этому, покупатели должны вкладывать средства в более совершенные и безопасные технологии, чтобы обеспечить надежность и безопасность своего бизнеса.