Při platbě Visou lze obejít zadávání PINu, bez ohledu na velikost nákupu
Většina z nás považuje zadávání PINu jako dostatečnou ochranu proti nevyžádaným platbám. Nyní se však ukázalo, že i tato ochrana se dá poměrně jednoduše a efektivně obejít, a útočník tak může zaplatit jakkoliv velký nákup.
Při nákupu drahých produktů máme většinou nastaveny na platebních kartách finanční limity, aby při platbě bylo nutné zadávat náš PIN. Smysl je jednoduchý – větší ochrana a bezpečnost. Nyní však tým akademiků ze Švýcarska objevil bezpečnostní chybu, díky které lze obejít zadávání PIN kódů při bezkontaktní platbě Visou.
Celá platba při tom může vypadat poměrně nenápadně a prodavač si celou transakci může zaměnit za platbu přes mobilní telefon. K provedení je pak zapotřebí dvou smartphonů s Androidem, speciální aplikaci a bezkontaktní platební kartu Visa.
Jeden z telefonů pak funguje jako emulátor platebních karet a druhý jako emulátor POS (Point-Of-Sale). Emulátor POS zařízení je pak přiložen k platební kartě, zatímco emulátor karet je použit k zaplacení zboží. V praxi tak emulátor POS požádá kartu o provedení platby, ale do žádosti uvede upravená data. Poté pošle tyto upravená data do druhého telefonu, který zaplatí u pokladny bez nutností zadávat PIN.
Podle vývojářů je celý útok proveditelný hlavně díky chybě ve standardu EMV a v bezkontaktním protokolu Visa. To umožňuje útočníkům měnit data spojená s bezkontaktní transakcí včetně skutečných detailů. V budoucnu by bylo určitě zapotřebí lépe ochránit ověření držitele karty proti následným úpravám. Nyní totiž terminál obdrží pouze dvě informace, a to že není vyžadován PIN a držitel karty byl již ověřen na svém smartphonu. To bohatě stačí, aby platba mohla proběhnout.
Zdroje:
