Badacze z Uniwersytetu z Newcastle poinformowali o wykryciu potencjalnie groźnej luki w sposobie działania kart zbliżeniowych Visa. Pozwala ona przeprowadzić transakcję na wysoką kwotę bez konieczności potwierdzenia płatności numerem PIN. Mogłoby to znacząco ułatwić zadanie złodziejom.
W Wielkiej Brytanii transakcje kartami zbliżeniowymi Visa nie muszą być potwierdzane PIN-em, jeśli kwota operacji nie przekracza 20 funtów. Naukowcy z Newcastle znaleźli niezwykle prosty sposób na ominięcie tego limitu – wystarczy, że waluta transakcji jest inna niż lokalna. W ten sposób można obciążyć kartę klienta nawet na 999.999,99 jednostek, np. dolarów amerykańskich.
Prezent dla zbliżeniowych kieszonkowców?
Zdaniem analityków transakcja tego typu zostanie przeprowadzona offline, czyli bez kontaktu z bankiem wydającym kartę. Brak wymagania wpisania PIN oraz brak dodatkowego „filtra” w postaci weryfikacji operacji przez bank powoduje, że przestępcy mogliby użyć schematu, w którym ofiara nawet nie wie, że jej karta została obciążona. Wystarczy, że terminal podstawiony przez oszustów (badacze użyli do testów smartfona ze zmodyfikowanym oprogramowaniem) zostanie zbliżony na chwilę do karty klienta.
„Nie testowaliśmy sposobu, w jaki przetwarzane są transakcje na dalszym etapie” napisali w oświadczeniu naukowcy. „Niemniej jednak nasze badania pokazują realnie istniejące zagrożenie, lukę w protokole obsługi płatności, która może zostać wykorzystana do dokonywania oszustw przez przestępców stale poszukujących nowych sposobów na włamanie się do systemów bankowych” dodali.
Visa: to eksperyment rodem z laboratorium
Organizacja Visa Europe zapewniła klientów, że nie ma powodów do niepokoju. Zdaniem rzecznika Visy schemat zaprezentowany przez badaczy jest możliwy do odtworzenia wyłącznie w warunkach laboratoryjnych. „Badanie nie bierze pod uwagę wielu mechanizmów zabezpieczających, które funkcjonują w ramach systemu płatności kartowych. Każde z tych zabezpieczeń musiałoby zostać ominięte, aby przeprowadzić transakcję w rzeczywistym otoczeniu” wskazano w oświadczeniu dla czasopisma „The Register”.
Doniesienia o odkryciu naukowców zapewne ponownie ożywią mit „zbliżeniowego kieszonkowca”, który np. w zatłoczonym autobusie, odczytuje karty spoczywające spokojnie w portfelach ofiar. Dla złodzieja taki schemat działania nie jest jednak najbardziej atrakcyjny. Problemem jest m.in. wyprowadzenie z systemu skradzionych pieniędzy. Potencjalny oszust musiałby zawrzeć umowę z agentem rozliczeniowym i poczekać na ostateczny rozrachunek, czyli wpłatę środków z transakcji kartowych na konto w banku. Liczne transakcje na wysokie kwoty w obcych walutach zapewne nie uszłyby uwadze systemów monitorujących wdrożonych przez banki i agentów rozliczeniowych.
Znacznie łatwiejszym i pozostawiającym mniej śladów sposobem na kradzież środków z kart płatniczych pozostaje nadal skimming. Proceder ten ułatwia fakt, że karty nadal posiadają dający się łatwo odczytać pasek magnetyczny, a w wielu krajach (np. USA) proces przejścia na technologię mikroprocesorową dopiero się rozpoczął.
Michał Kisiel