Naukowcy ze szwajcarskiej Wyższej Szkoły Technicznej w Zurychu opracowali atak, który pozwala nie wprowadzać kodu PIN podczas dokonywania płatności zbliżeniowych za pomocą kart Visa Credit, Visa Electron i VPay. Atak ten umożliwia atakującemu, który posiada skradzioną kartę zbliżeniową Visa, korzystanie z karty przy płaceniu towary i usługi, których cena znacznie przekracza limit dla transakcji zbliżeniowych. Kod PIN dla tych transakcji nie będzie potrzebny.
Raport opisujący technikę ataków został już opublikowany w Internecie a pełną prezentację swoich badań eksperci zamierzają zorganizować na sympozjum IEEE, które odbędzie się w maju 2021 roku.
Naukowcy twierdzą, że atak jest bardzo trudny do wykrycia, ponieważ przestępca wygląda jak zwykły klient, który płaci za zakup za pomocą smartfona. Do ataku wystarczą dwa smartfony z Androidem i specjalna aplikacji stworzona przez zespół badawczy oraz karta zbliżeniowa Visa. Dzięki temu aplikacja zainstalowana na obu smartfonach będzie działać jako emulator karty
Sam atak wygląda następująco: Specjalny program w telefonie prosi kartę o dokonanie płatności i modyfikuje szczegóły transakcji, a następnie przesyła zmienione dane przez Wi-Fi do drugiego smartfona, który ostatecznie dokonuje płatności w terminalu bez potrzeby wprowadzania kodu PIN. Szczegóły można obejrzeć na poniższym filmie.
Według badaczy atak jest możliwy z powodu wad koncepcyjnych standardu EMV i zbliżeniowego protokołu Visa. W przypadku kart Mastercard atak się nie powiedzie.
Zostaw komentarz