Твитнуть
Специалисты Массачусетского университета и Государственного университета Пенсильвании нашли ряд критических уязвимостей в Apple Pay, Google Pay и Pay Pal. Детали исследования были представлены на мероприятии Usenix Security 2024. Согласно представленным материалам, злоумышленники нашли способ добавлять в собственные цифровые кошельки номера и данные карт, которые были похищены или заблокированы. Исследователи серьезно обеспокоены проблемами в системах безопасности и аутентификации приложений для электронных кошельков.
На конференции было рассказано, как злоумышленники строят свои атаки. Они крадут банковские карты и находят адрес жертвы с помощью баз данных. После этого они добавляют украденную карту в разные кошельки. В каждом кошельке работают собственные методы аутентификации, поэтому преступники выбирают те, где можно использовать адрес и почтовый индекс для подтверждения личности.
Интересно, что после такой кражи, злоумышленники могут пользоваться кредитной картой, даже если она была заблокирована (например, владельцем). Это становится возможным из-за того, что банки никак не удостоверяются, в том, кошельком действительно пользуется владелец карты при обновлении данных клиента. Токен автоматизации просто переносится на другую карту, открытую вместо утраченной. Более того, кредитные организации позволяют проводить повторяющиеся операции, даже когда карта является заблокированной, что также используется при атаках.
Злоумышленники прибегают и к другим способам обмана банков для использования теми ненадежных методов подтверждения личности при добавлении данных карты в кошелек. Так, двухфакторная аутентификация через СМС, почту или звонок отключается, а вместо нее используется дата рождения и последние цифры СНС, которые легко находятся в открытых источниках. Магазины и организации также не могут отказать в мошеннических списаниях. Они не обязаны устанавливать личность владельца карты – достаточно верифицировать устройство, с которого производится оплата.
Авторы исследования подчеркнули, что уведомили об обнаруженных уязвимостях крупнейшие банки и разработчиков кошельков в апреле 2023 года. Google подтвердил, что работает над устранением проблем, однако остальные компании пока ничего не делали для их исправления. Apple, Pay Pal и Bank of America вообще не давали комментариев по теме.
На конференции было рассказано, как злоумышленники строят свои атаки. Они крадут банковские карты и находят адрес жертвы с помощью баз данных. После этого они добавляют украденную карту в разные кошельки. В каждом кошельке работают собственные методы аутентификации, поэтому преступники выбирают те, где можно использовать адрес и почтовый индекс для подтверждения личности.
Интересно, что после такой кражи, злоумышленники могут пользоваться кредитной картой, даже если она была заблокирована (например, владельцем). Это становится возможным из-за того, что банки никак не удостоверяются, в том, кошельком действительно пользуется владелец карты при обновлении данных клиента. Токен автоматизации просто переносится на другую карту, открытую вместо утраченной. Более того, кредитные организации позволяют проводить повторяющиеся операции, даже когда карта является заблокированной, что также используется при атаках.
Злоумышленники прибегают и к другим способам обмана банков для использования теми ненадежных методов подтверждения личности при добавлении данных карты в кошелек. Так, двухфакторная аутентификация через СМС, почту или звонок отключается, а вместо нее используется дата рождения и последние цифры СНС, которые легко находятся в открытых источниках. Магазины и организации также не могут отказать в мошеннических списаниях. Они не обязаны устанавливать личность владельца карты – достаточно верифицировать устройство, с которого производится оплата.
Авторы исследования подчеркнули, что уведомили об обнаруженных уязвимостях крупнейшие банки и разработчиков кошельков в апреле 2023 года. Google подтвердил, что работает над устранением проблем, однако остальные компании пока ничего не делали для их исправления. Apple, Pay Pal и Bank of America вообще не давали комментариев по теме.