язвимости в кредитных картах встречаются редко: хотя интерес киберпреступников здесь очевиден, сами платежные карты достаточно хорошо защищены. Их безопасность регулярно проверяют уже много лет, а к участникам рынка предъявляют весьма высокие требования. Пожалуй, последнее масштабное мошенничество с кредитками происходило в США, и то из-за устаревшей инфраструктуры, зависящей от ненадежного метода хранения данных на магнитной полосе. Данные кредиток крадут, используют для покупок в Сети и обналичивания, но вот сами карты с чипом взломать не так легко: если PIN-код не написан прямо на украденной карте, скорее всего, воры ничего не получат. Разве что смогут оплатить покупку бесконтактным методом, не требующим PIN-кода. Но тут вступает в силу ограничение на сумму покупки.
Исследователи из Швейцарской высшей технической школы Цюриха
На PoC-видео заметна интересная деталь: используются два смартфона, один считывает данные с кредитной карты, другой подносится к платежному терминалу. Предполагается, что карту красть даже не обязательно, достаточно удачно приложиться к кредитке в нужный момент. Ранее подобные атаки на систему бесконтактных платежей были попросту непрактичными. Такими они и остаются, но исследование делает их чуть более опасными, чем хотелось бы.
Подробное исследование по теме пока не опубликовали — исследователи обещают представить работу со всеми деталями аж в мае 2021 года. Пока известно следующее: уязвимость заключается в возможности поменять статус платежной карты, который передается при контакте с терминалом. Точнее, статусов два: один сообщает терминалу, что ввод PIN-кода не требуется, второй — что карта авторизована на пользовательском устройстве (например, на смартфоне). Обычно сочетание этих индикаторов приводит к тому, что терминал просит ввести PIN. В сценарии атаки данные с карты считываются смартфоном, передаются на другой смартфон и в процессе модифицируются. Лимит на бесконтактные платежи в Швейцарии составляет 80 швейцарских франков (74 евро на момент публикации). Исследователи провели без авторизации платеж на 200 франков, воспользовавшись обнаруженной уязвимостью.
Скорее всего, уязвимы многие кредитные и дебетовые карты Visa. Также есть вероятность, что подмена статуса возможна на картах систем Discover и Union Pay. Уязвимости не подвержены карты Mastercard (кроме самых ранних бесконтактных), так как там статус, позволяющий обойти необходимость ввода PIN, нельзя изменить на лету. Подвержены ли вообще все карты, или только некоторые, или же определенных банков за какой-то временной период, неизвестно и самим исследователям. Рекомендации простые: не теряйте карту и пользуйтесь кошельком, изолирующим беспроводную радиосвязь. Ладно, кошелек не обязателен, но карту лучше все-таки не терять.
Что еще произошло
Очередной патч для решений Microsoft
В ежемесячном патче для Android
Уязвимость в Wordpress-плагине Email Subscribers & Newsletters
Интересное
ИБ-исследователи
У производителя ноутбуков, игровых ПК и аксессуаров Razer
Разработчики сервиса видеоконференций Zoom
Исследователи из Швейцарской высшей технической школы Цюриха
Для просмотра ссылки необходимо нажать
Вход или Регистрация
уязвимость как раз в способе авторизации бесконтактных платежей, применяемом в платежных картах Visa. Она позволяет выходить за рамки лимита на операции без введения PIN-кода. А это значит, что в случае кражи злоумышленники могут оплатить картой очень дорогой товар.На PoC-видео заметна интересная деталь: используются два смартфона, один считывает данные с кредитной карты, другой подносится к платежному терминалу. Предполагается, что карту красть даже не обязательно, достаточно удачно приложиться к кредитке в нужный момент. Ранее подобные атаки на систему бесконтактных платежей были попросту непрактичными. Такими они и остаются, но исследование делает их чуть более опасными, чем хотелось бы.
Подробное исследование по теме пока не опубликовали — исследователи обещают представить работу со всеми деталями аж в мае 2021 года. Пока известно следующее: уязвимость заключается в возможности поменять статус платежной карты, который передается при контакте с терминалом. Точнее, статусов два: один сообщает терминалу, что ввод PIN-кода не требуется, второй — что карта авторизована на пользовательском устройстве (например, на смартфоне). Обычно сочетание этих индикаторов приводит к тому, что терминал просит ввести PIN. В сценарии атаки данные с карты считываются смартфоном, передаются на другой смартфон и в процессе модифицируются. Лимит на бесконтактные платежи в Швейцарии составляет 80 швейцарских франков (74 евро на момент публикации). Исследователи провели без авторизации платеж на 200 франков, воспользовавшись обнаруженной уязвимостью.
Скорее всего, уязвимы многие кредитные и дебетовые карты Visa. Также есть вероятность, что подмена статуса возможна на картах систем Discover и Union Pay. Уязвимости не подвержены карты Mastercard (кроме самых ранних бесконтактных), так как там статус, позволяющий обойти необходимость ввода PIN, нельзя изменить на лету. Подвержены ли вообще все карты, или только некоторые, или же определенных банков за какой-то временной период, неизвестно и самим исследователям. Рекомендации простые: не теряйте карту и пользуйтесь кошельком, изолирующим беспроводную радиосвязь. Ладно, кошелек не обязателен, но карту лучше все-таки не терять.
Что еще произошло
Очередной патч для решений Microsoft
Для просмотра ссылки необходимо нажать
Вход или Регистрация
129 уязвимостей, из них 23 критически важных. Одну из самых серьезных проблем
Для просмотра ссылки необходимо нажать
Вход или Регистрация
в сервере Microsoft Exchange. Атакующий может выполнить произвольный код с высшими привилегиями на почтовом сервере, отправив подготовленное сообщение. В ежемесячном патче для Android
Для просмотра ссылки необходимо нажать
Вход или Регистрация
53 бага, включая очередную дыру в Media Framework.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
в ряду уязвимостей в протоколе Bluetooth. Баг BLURtooth позволяет без авторизации подключаться к находящимся неподалеку устройствам с Bluetooth 4.0 и 5.0.Уязвимость в Wordpress-плагине Email Subscribers & Newsletters
Для просмотра ссылки необходимо нажать
Вход или Регистрация
сотне тысяч сайтов. Некорректная авторизация позволяет использовать почтовый сервер для рассылки спама.Интересное
Для просмотра ссылки необходимо нажать
Вход или Регистрация
темы атак на Office 365: в одной фишинговой кампании заметили механизм валидации данных, которые жертва вводит на поддельном сайте, в режиме реального времени. То есть ваши логин и пароль не только украдут, но еще и вежливо сообщат, если вы допустили опечатку при вводе.ИБ-исследователи
Для просмотра ссылки необходимо нажать
Вход или Регистрация
об атаке на VoIP-шлюзы на базе Linux. Злоумышленники охотятся за историей звонков.У производителя ноутбуков, игровых ПК и аксессуаров Razer
Для просмотра ссылки необходимо нажать
Вход или Регистрация
данные о 100 000 клиентов.Разработчики сервиса видеоконференций Zoom
Для просмотра ссылки необходимо нажать
Вход или Регистрация
двухфакторную аутентификацию.
Для просмотра ссылки необходимо нажать
Вход или Регистрация