Эксперты продемонстрировали эффективный метод хищения данных платежных карт с POS-терминалов

Эксперты продемонстрировали эффективный метод хищения данных платежных карт с POS-терминалов

 По словам специалистов, данный метод работает на большинстве "платежных устройств", включая кардридеры с пинпадами и платежные терминалы для оплаты заправки автомобиля. Главная проблема, объединяющая подобные устройства, заключается в том, что они не используют аутентификацию и шифрование данных при передаче информации программному обеспечению POS-терминала. Таким образом аппараты подвержены угрозе атаки "человек посередине", осуществленной при помощи позволяющего получить доступ к сети внешнего устройства или ПО POS-терминала.

 Помимо использования внешнего устройства, злоумышленники с удаленным доступом к операционной системе POS-терминала также могут модифицировать DLL-библиотеку платежного приложения для перехвата данных. Загруженную легитимным приложением модифицированную библиотеку сложнее обнаружить, нежели RAM-скреперы.

 Как продемонстрировали Вэлтмэн и Уотсон, используя данный метод злоумышленники могут не только украсть данные, но и обманом заставить владельцев платежных карт раскрыть PIN-коды и коды безопасности, размещенные на обратной стороне кредитной карты.

 Обычно пинпады передают PIN-код в зашифрованном виде, однако, осуществив атаку "человек посередине", атакующий может подменить форму на экране устройства на специально сформированную, к примеру "Повторно введите PIN-код" или "Введите код безопасности". Как правило, многие рядовые пользователи не знают, что PIN-коды не должны вводиться повторно, а введение кодов безопасности (CVV2) требуется только при online-транзакциях. Эксперты продемонстрировали данный метод атаки специалистам в сфере платежной индустрии. Что интересно, у подавляющего большинства из них (90%) не возникло никаких подозрений при появлении на экране устройства уведомления о повторном вводе PIN-кода.

Securitylab