Плащания Африка
През последните няколко дни излезе много от конференцията Black Hat USA 2018 в Лас Вегас. Едно критично внимание, изискващо подобно откритие, са новините, идващи от изследователите на Positive Technologies Leigh-Anne Galloway и Tim Yunusov, които са излязли, за да хвърлят светлина върху нарастващите атаки с по-ниски цени на методите на плащане.
Според двамата изследователи хакерите са намерили начин да откраднат информация за кредитни карти или да манипулират сумите на транзакциите, за да откраднат средства от потребителите. Те са успели да разработят четци на карти за евтини мобилни разплащателни карти, за да изпълнят тези тактики. Тъй като хората все повече възприемат този нов и прост начин на плащане, те влизат като основни цели за хакери, овладели кражби през този канал.
Двамата изследователи специално обясниха, че уязвимостите в сигурността в четците на тези методи на плащане могат да позволят на някой да манипулира това, което клиентите се показват на екраните за плащане. Това може да позволи на хакер да манипулира истинската сума на транзакцията или да позволи на машината да покаже, че плащането е било неуспешно за първи път, което ще доведе до второ плащане, което може да бъде откраднато. Двамата изследователи подкрепиха тези твърдения, като проучиха недостатъци в сигурността на читателите за четири водещи компании за продажба в САЩ и Европа: Square, PayPal, SumUp и iZettle.
Ако търговецът не се разхожда с лоши намерения по този начин, друга уязвимост, открита в читателите, може да позволи на отдалечен нападател също да открадне пари. Галоуей и Юнусов откриха, че начинът, по който читателите използват Bluetooth за сдвояване, не е сигурен метод, тъй като няма свързано с него известие за връзка или въвеждане / извличане на парола. Това означава, че всеки случаен нападател в обхвата може да успее да прихване комуникацията на Bluetooth връзката, която устройството поддържа с мобилно приложение и сървъра за плащане, за да промени сумата на транзакцията.
Важно е да се отбележи, че двамата изследователи са обяснили, че отдалечените експлоати на тази уязвимост все още не са извършени и че въпреки тези масивни уязвимости, експлоатите все още не са набрали инерция като цяло. Компаниите, отговорни за тези методи на плащане, бяха уведомени през април и изглежда, че от четирите, той от Square Square е забелязал бързо и е решил да прекрати поддръжката на уязвимия си Miura M010 Reader.
Изследователите предупреждават потребителите, които избират тези евтини карти за плащане, че може да не са безопасни залози. Те съветват потребителите да използват чип и щифт, чип и подпис или безконтактни методи вместо прекарване с магнитна лента. В допълнение към това, потребителите в края на продажбите трябва да инвестират в по-добри и по-безопасни технологии, за да гарантират надеждността и сигурността на своя бизнес.
