Platby Afrika
Za posledných pár dní toho z konferencie Black Hat USA 2018 v Las Vegas vyšlo veľa. Jedným z kriticky náročných objavov je správa pochádzajúca od vedcov spoločnosti Positive Technologies Leigh-Anne Gallowayovej a Tima Yunusova, ktorí prišli objasniť rastúce útoky lacnejších platobných metód.
Podľa týchto dvoch vedcov našli hackeri spôsob, ako ukradnúť informácie o kreditnej karte alebo manipulovať so sumami transakcií, aby ukradli prostriedky používateľom. Na uskutočnenie tejto taktiky sa im podarilo vyvinúť čítačky kariet pre lacné mobilné platobné karty. Pretože ľudia čoraz viac prijímajú tento nový a jednoduchý spôsob platby, kráčajú k hlavným cieľom hackerov, ktorí si krádež prostredníctvom tohto kanála osvojili.
Dvaja vedci predovšetkým vysvetlili, že chyby zabezpečenia v čítačkách týchto spôsobov platby môžu niekomu umožniť manipulovať s tým, čo sa zákazníkom zobrazuje na obrazovkách platieb. To by mohlo hackerovi umožniť manipulovať so skutočnou sumou transakcie alebo umožniť stroju zobraziť, že platba bola prvýkrát neúspešná, čo by si vyžiadalo druhú platbu, ktorá by mohla byť ukradnutá. Dvaja vedci podporili tieto tvrdenia štúdiom bezpečnostných chýb v čítačkách u štyroch popredných spoločností v USA a Európe v oblasti predaja: Square, PayPal, SumUp a iZettle.
Ak obchodník týmto spôsobom nepochodí so zlým úmyslom, ďalšia zraniteľnosť zistená v čítačkách by mohla umožniť vzdialenému útočníkovi ukradnúť peniaze tiež. Galloway a Yunusov zistili, že spôsob, akým čitatelia používajú párovanie Bluetooth, nie je bezpečná metóda, pretože s tým nie je spojené žiadne oznámenie o pripojení ani zadanie / načítanie hesla. To znamená, že ktorýkoľvek náhodný útočník v dosahu dokáže zachytiť komunikáciu spojenia Bluetooth, ktorú zariadenie udržiava s mobilnou aplikáciou a platobným serverom, aby zmenil sumu transakcie.
Je dôležité poznamenať, že dvaja vedci vysvetlili, že vzdialené zneužitie tejto zraniteľnosti sa zatiaľ neuskutočnilo a že napriek týmto rozsiahlym zraniteľným miestam sa zneužitia vo všeobecnosti zatiaľ nepodarilo získať dynamiku. Spoločnosti zodpovedné za tieto spôsoby platby boli informované v apríli a zdá sa, že z týchto štyroch spoločností Square si to rýchlo všimla a rozhodla sa ukončiť podporu svojej zraniteľnej čítačky Miura M010.
Vedci varujú používateľov, ktorí si za platbu zvolia tieto lacné karty, že nemusí ísť o bezpečné stávky. Odporúčajú používateľom namiesto prsta po magnetickom prúžku použiť čip a pin, čip a podpis alebo bezkontaktné metódy. Okrem toho by používatelia na konci predaja mali investovať do lepšej a bezpečnejšej technológie, aby zabezpečili spoľahlivosť a bezpečnosť svojho podnikania.
