Lỗ hổng thẻ không tiếp xúc- cho phép tin tặc có thể vượt quá giới hạn không tiếp xúc

Các nhà nghiên cứu đã phát hiện ra lỗ hổng cho phép tin tặc vượt qua giới hạn thanh toán trên thẻ tiếp xúc của Visa, theo một blog của Positive Technologies.

Nhà nghiên cứu Leigh-Anne Galloway và Tim Yunusov đã thử nghiệm tấn công với 5 ngân hàng lớn của Anh, vượt qua giới hạn xác minh không tiếp xúc của Anh là 30 bảng cho tất cả các thẻ mang thương hiệu Visa được thử nghiệm, trên bất kỳ thiết bị thanh toán thẻ đầu cuối.

Các nhà nghiên cứu phát hiện rằng cuộc tấn công thẻ không tiếp xúc này có thể xảy ra với thẻ và thiết bị đầu cuối bên ngoài nước Anh. Những phát hiện này rất có ý nghĩa vì các giới hạn xác minh thanh toán không tiếp xúc được sử dụng để bảo vệ chống lại các tổn thất gian lận đang gia tăng trong những năm gần đây.

Cuộc tấn công hoạt động bằng cách thao túng hai trường dữ liệu được trao đổi giữa các thẻ không tiếp xúc và thiết bị đầu cuối trong một giao dịch thanh toán không tiếp xúc. Chủ yếu ở Anh, nếu thanh toán cần xác minh chủ thẻ bổ sung (được yêu cầu khi thanh toán trên 30 bảng) thẻ sẽ trả lới “tôi không thể làm điều đó” – và điều này ngăn cản việc thanh toán vượt quá giới hạn.

Thứ hai, thiết bị đầu cuối sử dụng cài đặt cụ thể theo quốc gia, yêu cầu thẻ hoặc ví di động cung cấp xác minh bổ sung cho chủ thẻ, chẳng hạn như thông qua mã PIN của thẻ hoặc xác thực dấu vân tay trên điện thoại.

Nghiên cứu thấy rằng cả hai kiểm tra ngày đều có thể vượt qua bằng cách sử dụng một thiết bị chặn giao tiếp giữa thẻ và thiết bị thanh toán đầu cuối. Thiết bị này hoạt động như một proxy và được biết đến là công cụ để thực hiện cuộc tấn công dạng man in the middle (MITM).

Đầu tiên, thiết bị nói với thẻ rằng không cần xác minh, mặc dù số tiền >30 bảng. Sau đó thiết bị báo cho thiết bị đầu cuối rằng xác minh đã được thực hiện bằng phương tiện khác. Cuộc tấn công này là có thể bởi Visa không yêu cầu nhà phát hành và người mua phải kiểm tra tại chỗ ngăn chạn thanh toán mà không đưa ra xác minh thối thiểu.

Cuộc tấn công cũng có thể được thực hiện bằng các sử dụng ví di động như Gpay, nơi mà Visa đã được thêm vào ví. Tại đây, thậm chí có thể thực hiện gian lận đến 30 bảng mà không cần phải mở khóa điện thoại.

Theo UK Finance, gian lận trên thẻ và thiết bị không tiếp xúc đã tăng lên từ 6.7 triệu bảng trong năm 2016 lên đến 14 triệu bảng trong năm 2017. 8.4 triệu bảng đã bị mất do gian lận không tiếp xúc vào nửa đầu năm 2018. Phát hiện này đã nhấn mạnh tầm quan trọng của việc gia tăng bảo mật từ các ngân hàng phát hành, những người không nên phụ thuộc vào Visa để cung cấp một giao thức an toàn cho thanh toán. Thay vào đó, các tổ chức phát hành nên có biện pháp riêng để phát hiện và ngăn chặc vector tấn công này và các cuộc tấn công thanh toán khác.

Tim Yunusov – Trưởng phòng An ninh ngân hàng tại Positive Technologies cho biết: Nghành công nghiệp thanh toán tin rằng thanh toán không tiếp xúc được bảo vệ bởi các biện pháp bảo vệ mà họ đưa ra, nhưng thực thế gian lận không tiếp xúc đang gia tăng. Hiện tại, nó là một loại lừa đảo tương đối mới và có thể không phải là ưu tiên số một cho ngân hàng tại thời điểm này, nếu giới hạn xác minh không tiếp xúc có thể dễ dàng được bỏ qua, điều đó có nghĩa là chúng ta có thể thấy thiệt hại nhiều hơn cho các ngân hàng và khách hàng của họ.

Các nhà nghiên cứu khuyến cáo rằng người dùng thẻ không tiếp xúc cần thận trọng trong việc theo dõi báo cáo tài khoản ngân hàng của mình để sớm phát hiện ra việc gian lận và nếu có đối với ngân hàng của họ, hãy thực hiện các biện pháp bảo mật bổ sung như giới hạn xác minh và thanh toán và thông báo SMS.

Theo Paymentscardsandmobile.

Tin khác