Вчені виявили проблему з безпекою безконтактних платежів

Безконтактні кредитні картки зручні. Вони дозволяють швидко оплачувати малі рахунки, не вводячи PIN-код. І вони все ще цілком безпечні, оскільки PIN-код потрібен при покупці чогось дорожчого. Однак вчені з ETH Zurich виявили, що деякі безконтактні кредитні картки можуть бути менш вразливими, ніж вважали раніше.

Компанії Europay, Mastercard та Visa встановили стандарт EMV ще в 90-х роках минулого століття, хоча для його впровадження знадобився певний час. З тих пір його оновлювали кілька разів, але основна функціональність залишалася незмінною – цей стандарт дозволяє здійснювати безконтактні платежі без додаткових ризиків безпеки. Очевидно, що люди все одно повинні бути обережними – є способи вкрасти інформацію про кредитну картку або використовувати викрадену картку. Однак загалом ми почуваємось у безпеці щодо них.

Вчені розробили модель для перевірки безпеки цих безконтактних кредитних карток. І їм вдалося знайти критичну прогалину в протоколі, який використовує компанія кредитних карток Visa (це не стосується карток інших компаній). Ця лазівка ​​може дозволити деяким злочинцям використовувати загублену або викрадену картку без PIN-коду для здійснення більших покупок. Срібна підкладка цієї дуже темної хмари полягає в тому, що процес використання цих безконтактних кредитних карток шахрайським способом є дуже складним.

Чтайте також:  Нова кредитна карта Visa пропонує кешбек у біткойнах

Вчені розробили спеціальний додаток для Android та встановили його на мобільних пристроях із підтримкою NFC. Цікаво, що використовувались стандартні смартфони Android, і жодної цілісної безпеки не потрібно було подолати. Система використовується так:

  • перший телефон сканує кредитну картку і передає інформацію про неї на другий телефон;
  • другий телефон використовується для списання встановленої суми на касі магазину чи іншого місця бізнесу;
  • постачальник не розуміє, що картку вкрадено, нічого підозрілого щодо цієї діяльності;
  • спеціальний додаток для Android позбавляє потреби вводити PIN-код для завершення транзакції, навіть якщо витрачається більша сума грошей.