Учёные обнаружили, что ведущие цифровые кошельки, такие как Apple Pay, Google Pay и PayPal, могут быть использованы для совершения мошеннических покупок с использованием украденных или аннулированных платежных карт.
Добавляя карту в цифровой кошелёк, злоумышленники могут воспользоваться уязвимостью в механизмах аутентификации, авторизации и контроля доступа в приложениях крупных цифровых кошельков и американских банков.
Эксперты по безопасности выявили эту уязвимость на конференции Usenix Security и в своём исследовательском документе описали возможные сценарии, в которых для аутентификации карты, добавляемой в цифровой кошелёк, могут быть использованы полные имена и адреса жертв, которые уже напечатаны на картах.
Возможный сценарий
Процесс может быть реализован, если злоумышленник выбирает аутентификацию на основе знаний (KBA) вместо многофакторной аутентификации (MFA), такой как одноразовый пароль, отправленный по электронной почте, смс или звонком. Некоторые схемы KBA не требуют множества данных — многие ограничиваются почтовым индексом, адресом для выставления счетов, датой рождения или последними четырьмя цифрами номера социального страхования. Получив эту информацию, мошенник может свободно совершать покупки с использованием цифровой карты.
Более того, аннулирование или блокировка карты не обязательно остановят мошенничество, так как после аутентификации карты банк выдаёт токен, который разрешает покупки и сохраняется в цифровом кошельке. Таким образом, злоумышленники могут переассоциировать кошелёк с новой картой после её перевыпуска.
Также могут быть использованы повторяющиеся транзакции для эксплуатации жертвы, так как покупки, обозначенные как «периодические», обрабатываются даже при заблокированной карте.
В эпоху утечек данных, особенно после недавнего инцидента с Национальной публичной базой данных, где потенциально были скомпрометированы личные данные миллиардов людей, проверка информации стала проще, чем когда-либо.
Хотя банки заявили, что уязвимости были устранены и такие атаки больше невозможны, всегда важно оставаться бдительными. Для тех, кто обеспокоен, мы рассмотрели лучшие платформы для обнаружения мошенничества с кредитными картами.
Источник: The Register
Источник: TechRadar
