Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Уязвимость в протоколах PoS-терминалов приводит к хищению данных кредитных карт

Уязвимость в протоколах PoS-терминалов приводит к хищению данных кредитных карт

Уязвимость в протоколах PoS-терминалов приводит к хищению данных кредитных карт


29.12.2015



 

Немецкие ИБ-специалисты Карстен Нол (Karsten Nohl) и Фабиан Браунлейн (Fabian Braunlein) обнаружили новую уязвимость в расположенных в Германии платежных терминалах, позволяющую злоумышленникам похитить PIN-код и информацию магнитных полос кредитных и дебетовых карт.

 Эксперты протестировали платежные терминалы от пяти крупных операторов платежных систем. Устройства использовали две сети с одинаковым программным обеспечением.

 В рамках доклада на Всемирном конгрессе хакеров Нол и Браунлейн намерены продемонстрировать примеры нескольких атак с эксплуатацией ошибок в платежных протоколах ZVT и Poseidon, используемых терминалами. По словам Нола, протокол ZVT используют порядка 90% устройств, поэтому уязвимость затрагивает подавляющее большинство терминалов.

 Проэксплуатировав ошибки в протоколе ZVT атакующий может получить PIN-код кредитной карты жертвы, а также всю информацию, содержащуюся на магнитной ленте. Как оказалось, любой платежный терминал, предоставленный операторами, использует для подписи сообщений один и тот же ключ.

 Атака происходит следующим образом: злоумышленник отправляет на терминал имитирующее легитимное сообщение с просьбой ввести PIN-код, ждет, пока жертва не начнет транзакцию, а затем отправляет вредоносные команды. В результате, атакующий становится обладателем PIN-кода и данных магнитной полосы кредитной карты.

 "Раньше мошенники использовали уязвимости в программном обеспечении. Для устранения проблем требовалось просто загрузить обновление. Мы взламываем сам протокол, то есть устройство работает в нормальном режиме, но при этом остается уязвимым. В результате данную проблему нельзя решить с помощью патча - придется перенастраивать всю систему", - пояснил Нол в интервью изданию Motherboard.

 "Те, кто несет ответственность за пробелы в безопасности, в том числе банки, признают существование проблемы, однако принимать меры для ее решения не спешат. Они говорят, что подобных случаев мошенничества пока не зафиксировано - но ведь это лишь вопрос времени! Своим бездействием они только усугубляют ситуацию", - подчеркнул специалист.

Источник:
securitylab.ru

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"