Блокировка карты больше не означает безопасность.
Группа исследователей безопасности выявила уязвимости в системах Apple Pay, Google Pay и , которые позволяют использовать украденные и аннулированные платежные карты для проведения транзакций. было представлено на конференции Usenix Security 2024.
Эксперты проанализировали критические недостатки в механизмах аутентификации, авторизации и контроля доступа в основных приложениях цифровых кошельков и банках США. Найденные ошибки позволяют злоумышленникам добавлять украденные карты в свои цифровые кошельки и совершать несанкционированные транзакции, даже если карта была аннулирована или заменена.
Например, мошенник может использовать данные украденной кредитной карты (имя владельца и адрес), и добавлять карту в различные цифровые кошельки. Разные кошельки используют разные методы аутентификации, и те из них, которые требуют только адрес или почтовый индекс, становятся лёгкой целью для киберпреступников.
Если владелец карты блокирует или перевыпускает её, злоумышленник всё ещё может использовать карту в своём кошельке для транзакций. Такая ситуация возможна, потому что после добавления карты в цифровой кошелёк банк выдаёт токен, который позволяет совершать покупки и хранится в кошельке. Токен не обновляется после замены карты, а привязывается к новой карте, что позволяет продолжать покупки с использованием старого токена.
Исследователи также выяснили, что многие банки допускают использование менее надёжных методов аутентификации, таких как аутентификация на основе знаний (knowledge-based authentication, ), вместо более безопасных – многофакторная аутентификация (multi-factor authentication, ). Это позволяет мошеннику обойти более строгие меры безопасности, выбрав опцию KBA, которая часто включает в себя проверку по дате рождения и последним четырём цифрам номера социального страхования (social security number, )
Получение такой информации возможно благодаря публичным базам данных и утечкам персональных данных. Недавние демонстрируют, насколько легко можно получить информацию для такой проверки.
В ходе экспериментов исследователи смогли успешно использовать заблокированные карты для приобретения подарочных карт и электроники, а также оформить ежемесячные подписки. Злоумышленники даже могут включить автоплатеж, чтобы проводить транзакции даже с заблокированных карт. Банки, стремясь избежать пропущенных платежей и связанных с этим негативных последствий для клиентов, позволяют такие транзакции.
Исследователи сообщили о своих выводах банкам США и поставщикам цифровых кошельков в апреле 2023 года. На момент публикации исследования Google сотрудничает с банками для устранения выявленных проблем в Google Pay. Chase и Citi также заявили, что уязвимости больше не актуальны. Однако Apple, PayPal и другие компании пока не дали комментариев.
Авторы исследования рекомендуют несколько мер для повышения безопасности: использовать push-уведомления вместо одноразовых паролей, применять непрерывную аутентификацию при управлении токенами, а также проверять корректность меток для повторяющихся транзакций.
Подробнее:
Группа исследователей безопасности выявила уязвимости в системах Apple Pay, Google Pay и , которые позволяют использовать украденные и аннулированные платежные карты для проведения транзакций. было представлено на конференции Usenix Security 2024.
Эксперты проанализировали критические недостатки в механизмах аутентификации, авторизации и контроля доступа в основных приложениях цифровых кошельков и банках США. Найденные ошибки позволяют злоумышленникам добавлять украденные карты в свои цифровые кошельки и совершать несанкционированные транзакции, даже если карта была аннулирована или заменена.
Например, мошенник может использовать данные украденной кредитной карты (имя владельца и адрес), и добавлять карту в различные цифровые кошельки. Разные кошельки используют разные методы аутентификации, и те из них, которые требуют только адрес или почтовый индекс, становятся лёгкой целью для киберпреступников.
Если владелец карты блокирует или перевыпускает её, злоумышленник всё ещё может использовать карту в своём кошельке для транзакций. Такая ситуация возможна, потому что после добавления карты в цифровой кошелёк банк выдаёт токен, который позволяет совершать покупки и хранится в кошельке. Токен не обновляется после замены карты, а привязывается к новой карте, что позволяет продолжать покупки с использованием старого токена.
Исследователи также выяснили, что многие банки допускают использование менее надёжных методов аутентификации, таких как аутентификация на основе знаний (knowledge-based authentication, ), вместо более безопасных – многофакторная аутентификация (multi-factor authentication, ). Это позволяет мошеннику обойти более строгие меры безопасности, выбрав опцию KBA, которая часто включает в себя проверку по дате рождения и последним четырём цифрам номера социального страхования (social security number, )
Получение такой информации возможно благодаря публичным базам данных и утечкам персональных данных. Недавние демонстрируют, насколько легко можно получить информацию для такой проверки.
В ходе экспериментов исследователи смогли успешно использовать заблокированные карты для приобретения подарочных карт и электроники, а также оформить ежемесячные подписки. Злоумышленники даже могут включить автоплатеж, чтобы проводить транзакции даже с заблокированных карт. Банки, стремясь избежать пропущенных платежей и связанных с этим негативных последствий для клиентов, позволяют такие транзакции.
Исследователи сообщили о своих выводах банкам США и поставщикам цифровых кошельков в апреле 2023 года. На момент публикации исследования Google сотрудничает с банками для устранения выявленных проблем в Google Pay. Chase и Citi также заявили, что уязвимости больше не актуальны. Однако Apple, PayPal и другие компании пока не дали комментариев.
Авторы исследования рекомендуют несколько мер для повышения безопасности: использовать push-уведомления вместо одноразовых паролей, применять непрерывную аутентификацию при управлении токенами, а также проверять корректность меток для повторяющихся транзакций.
Подробнее:
