შვეიცარიაში ციურიხის უმაღლესი ტექნიკური სკოლის მკვლევარების ჯგუფმა აღმოაჩინა PIN კოკის გვერდის ავლის ეფექტური მეთოდი Visa ბარათებით ძვირადღირებული გადახდის შესრულებისას.
აღმოჩნდა, რომ საერთაშორისო სტანდარტის EMV-ის დიზაინში და Visa-ს უკონტაქტო გადახდების პროტოკოლში მოწყვლადობაა. საქმე იმაშია, რომ არ არსებობს აუთენტიფიკაციისა და შიფრაციის მექანიზმები, რისი წყალობითაც ბოროტმოქმედს შეუძლია შეცვალოს მონაცემები უკონტაქტო ტრანზაქციისას, რომელთა შორის არის ინფორმაცია ტრანზაქციის მართვის შესახებ და იყო თუ არა ბარათი ვერიფიცირებული მფლობელის მიერ.
მკვლევარები ამბობენ, რომ შეტევა შეუმჩნევლად ხორციელდება და აღიქმება, როგორც გადახდა მობილური ან ციფრული საფულიდან, რომელიც მომხმარებლის სმარტფონშია. საქმე იმაშია, რომ გადახდა ხორციელდება შენიღბულად, მოპარული Visa ბარათით.
შეტევისთვის არც ისე ბევრი რამ არის საჭირო: ორი Android სმარტფონი, საფრმო აპლიკაცია და უკონტაქტო Visa ბარათი. პირველი სმარტფონი უშვებს აპლიკაციას, რომელიც ბარათის ემულატორის როლს ასრულებს, მეორე ტელეფონი PoS ტერმინალის ემულატორია და ის ბარათთან ახლოს უნდა იყოს. სმარტფონი, რომელიც ბართის ემულაციას ახდენს გამოიყენება გადახდისთვის.
თავიდან PoS-ემულატორი აკეთებს მოთხოვნას გადახდაზე, ახდენს მონაცემების მოდიფიკაციას და მიუთითებს, რომ PIN კოდის შეყვანა საჭირო არ არის, შემდეგ მონაცემები Wi-Fi-ის საშუალებით გადაეცემა მეორე სმარტფონს, რომელიც ახორციელებს გადახდას PIN-ის გარეშე.
ექპერტები აღნიშნავენ, რომ მათ მიერ შექმნილი აპლიკაცია არ ითხოვს სუპერ-მომხმარებლის (root). მეთოდის მუშაობა დადასტურებულია Google Pixel და Huawei-ს სმარტფონებზე, Visa Credit, Visa Electron და VPay ბარათებზე.
მკვლევარებმა აღმოაჩინეს კიდევ ერთი უსაფრთხოების პრობლემა, რომელიც ოფლაინ ტრანზაქციებს MasterCard-ისა და Visas ბარათებზე. ამ შემთხვევაში უკონტაქტო გადახდებისას ოფლაინ რეჟიმში არ ხორციელდება ApplicationCryptogram – კრიპტოგრაფიული დამოწმება ბარათის გამცემისგან. ამის შედეგად ბოროტმოქმედს შეუძლია ტერმინალი აიძულოს არაავტორიზებული ტრანზაქცია გაატაროს.