Группа учёных из Швейцарской высшей технической школы Цюриха нашла эффективный способ обойти PIN-коды для бесконтактных платежей Visa и совершать дорогостоящие покупки. 

Оказалось, что в дизайне международного стандарта EMV и протоколе бесконтактных платежей Visa кроется уязвимость. Всё дело в отсутствии механизмов аутентификации или шифрования, благодаря чему злоумышленник может изменить данные в бесконтактной транзакции, включая информацию об управлении транзакцией и была ли карта верифицирована владельцем.

Атака проходит незаметно и воспринимается как оплата за товар с помощью мобильного или цифрового кошелька, установленного на смартфоне пользователя, отмечают учёные. Фишка в том, что оплата совершается с украденной бесконтактной карты Visa, спрятанной на теле злоумышленника.

Для успешной атаки необходимо не так много: два Android-смартфона, фирменное приложение и бесконтактная карта Visa. Первый смартфон запускает приложение, которое работает в качестве эмулятора карты, второй телефон — это эмулятор PoS-терминала — он обязательно должен находиться вблизи карты. Смартфон, эмулирующий карту, используется для оплаты покупок.

Сначала PoS-эмулятор делает запрос совершить платёж, модифицирует данные транзакции и указывает, что ввод PIN-кода не требуется, затем происходит передача данных через сеть Wi-Fi другому смартфону, с которого совершается оплата без PIN-кода.

Эксперты отметили, что разработанное ими приложение не требует прав суперпользователя. Метод доказал свою эффективность в полевых условиях на смартфонах Huawei и Google Pixel и с картами Visa Credit, Visa Electron и VPay.

Ещё одна проблема безопасности, обнаруженная учёными, связана с офлайн-транзакциями при использовании карт Mastercard и Visa. В данном случае в ходе бесконтактных платежей в режиме офлайн не осуществляется аутентификация ApplicationCryptogram — криптографическое подтверждение транзакции от эмитента карты. Это приводит к тому, что злоумышленник может заставить терминал принять неавторизованную транзакцию.