Παρασκευή, 23 Αυγούστου 2019

Αποκλειστικό: Πώς οι χάκερς μπορούν να σας κλέψουν με τις ανέπαφες συναλλαγές της κάρτας Visa

 
Θεωρείτε ότι το όριο των 30 λιρών στις ανέπαφες συναλλαγές με κάρτα μπορεί να σας προστατεύσει από κλοπές; Ξανασκεφτείτε το. 
Eρευνητές ασφάλειας βρήκαν έναν τρόπο να παρακάμψουν αυτό το όριο στις κάρτες Visa. Η παραβίασή τους, η οποία δεν περιορίζεται σε κάρτες του Ηνωμένου Βασιλείου, θα μπορούσε να επιτρέψει σε καιροσκόπους απατεώνες να αδειάσουν λογαριασμούς με μια μόνο κίνηση και ισχυρίζονται ότι δεν χρειάζεται καν να κλέψουν την πιστωτική κάρτα. Και από την πλευρά της Visa, λίγα γίνονται για να αντιμετωπιστεί αυτή η νέα απειλή.

Το Forbes άφησε τους ερευνητές Leigh-Anne Galloway και Tim Yunusov από την εταιρία κυβερνο-ασφάλειας Positive Technologies να κάνουν δοκιμή σε μια προσωπική κάρτα Visa. Κατάφεραν να αποσπάσουν τρεις επιτυχείς πληρωμές ύψους 31 λιρών. Στις δικές τους κάρτες έκαναν ανέπαφες πληρωμές ύψους 101 λιρών, αν και είναι πιθανό να υπάρχει δυνατότητα κλοπής μεγαλύτερου πεσού με ένα μόνο πέρασμα κάρτας.
Τα χακαρίσματά τους δείχνουν πως η απάτη των ανέπαφων συναλλαγών θα μπορούσε να χειροτερεύσει. Συνήθως, εάν μια τράπεζα δει πολλαπλές ανέπαφες πληρωμές αξίας 30 λιρών, η κάρτα σταματά να λειτουργεί, καθώς τα συστήματα ανίχνευσης απάτης υποψιάζονται ότι είναι στα χέρια κλέφτη. Αν όμως είναι δυνατό να πραγματοποιηθούν μεγάλες συναλλαγές με ένα πέρασμα, αυξάνεται η πιθανότητα για μεγάλες απάτες.


Κλέφτες καρτών μπορούν τώρα να κάνουν μεγαλύτερες πληρωμές σε σχέση το παρελθόν. Αλλά τώρα, δεν χρειάζεται καν να κλέψουν την κάρτα. Οι εγκληματίες θα μπορούσαν, για παράδειγμα, να κάνουν μια πληρωμή από μια κάρτα, όταν ο χρήστης δεν προσέχει, με τη δική τους μηχανή πληρωμών μέσω κινητού τηλεφώνου (αν και ένας κακόβουλος έμπορος τελικά θα πιαστεί από τα συστήματα απάτης των τραπεζών, εάν χρησιμοποιεί το ίδιο τερματικό). Ή ακόμα πιο επιδέξια, είναι εφικτό κανείς να υποκλέψει τα στοιχεία πληρωμής από μια πιστωτική κάρτα χρησιμοποιώντας ένα κινητό τηλέφωνο, να στείλει τα δεδομένα σε άλλο τηλέφωνο και να κάνει την πληρωμή αυτή η δεύτερη συσκευή ξεπερνώντας το όριο, ισχυρίστηκαν οι ερευνητές. Για να δουλέψει το χακάρισμα, οι απατεώνες πρέπει να είναι κοντά στο θύμα τους.

"Αυτό σημαίνει ότι εάν βρίσκατε την κάρτα κάποιου ή κάποιος έκλεβε τη δική σας κάρτα σας, δεν θα χρειαζόταν να γνωρίζει τον κωδικό PIN, δεν θα έπρεπε να πλαστογραφήσει την υπογραφή σας και θα μπορούσε να κάνει μια πληρωμή πολύ υψηλότερης αξίας", δήλωσε η Galloway.

Θα έπρεπε να υπάρχουν κάποια όρια στο πόσα θα μπορούσε να κλέψει ένας χάκερ. Η Galloway είπε ότι, αν και οι κλέφτες θα μπορούσαν να ξεπεράσουν τις 101 λίρες που δοκίμασαν εκείνοι, κατά εκατοντάδες ή πιθανόν χιλιάδες λίρες, τα συστήματα ανίχνευσης απάτης στις τράπεζες μπορεί να εντοπίζουν τυχόν ασυνήθιστα ​​υψηλές συναλλαγές. "Αυτό που βρήκαμε είναι ότι στην πραγματικότητα, μπορούμε να κάνουμε λογικοφανείς πληρωμές υψηλής αξίας. Έτσι, στο Ηνωμένο Βασίλειο, είμαστε σε θέση να πραγματοποιούμε πληρωμές ύψους 100 λιρών χωρίς καμία ανίχνευση", πρόσθεσε.

Οι ερευνητές εξακολουθούν να εξετάζουν εάν το χακάρισμα θα λειτουργούσε σε άλλα μέρη του κόσμου, αλλά η Galloway επιβεβαίωσε ότι δεν περιοριζόταν σε μια μόνο χώρα. Το όριο, φυσικά, διαφέρει μεταξύ των κρατών. Για παράδειγμα, στις ΗΠΑ, είναι σημαντικά υψηλότερο από τα 100 δολάρια.

Δεν υπάρχει καμία λύση;

Αυτό δεν αλλάζει, όμως, τη διαπίστωση ότι το όριο για τις κάρτες Visa μπορεί να παραβιαστεί. Ωστόσο η Visa δεν σχεδιάζει να ενημερώσει τα συστήματά της για να αντιμετωπίσει την "επίθεση". Ο γίγαντας του χρηματοπιστωτικού κλάδου ισχυρίστηκε ότι μια τέτοια αδράνεια δεν θα ήταν πιθανό να εκδηλωθεί στον πραγματικό κόσμο, καθώς οι εγκληματίες θα χρειαζόταν να έχουν τα χέρια τους την κάρτα και αυτό δεν συμβαίνει συχνά. Ένας εκπρόσωπος της εταιρείας είπε ότι παρά την έρευνα δεν υπήρχε κάποιο πρόβλημα ασφαλείας που έπρεπε να αντιμετωπιστεί.

"Ένας βασικός περιορισμός αυτού του τύπου επίθεσης είναι ότι απαιτεί μια φυσικά κλεμμένη κάρτα, η κλοπή της οποίας δεν έχει ακόμα αναφερθεί στον εκδότη της κάρτας", δήλωσε ένας εκπρόσωπος της Visa στο Forbes, σημειώνοντας ότι η Visa εργάζεται συνεχώς για τη βελτίωση της τεχνολογίας ανίχνευσης απάτης. "Ομοίως, η συναλλαγή πρέπει να περάσει επικυρώσεις εκδότη και πρωτόκολλα ανίχνευσης. Δεν είναι μια κλιμακούμενη προσέγγιση απάτης που συνήθως βλέπουμε να κάνουν οι εγκληματίες στον πραγματικό κόσμο".

Η Galloway διαφώνησε στο ότι ο απατεώνας θα χρειαζόταν να κλέψει την κάρτα. Όπως έδειξαν οι δοκιμές, ο χάκερ χρειάζεται μόνο να φτάσει αρκετά κοντά στην κάρτα του θύματος για σύντομο χρονικό διάστημα για να κάνει μια πληρωμή. Αυτού του είδους το "skimming" έχει αποδειχθεί εδώ και καιρό εφικτό, ακόμα κι αν στηρίζεται στο ότι ο ιδιοκτήτης της κάρτας έχει πιαστεί "στον ύπνο".

Ο εκπρόσωπος της Visa ισχυρίστηκε επίσης ότι το συνολικό ποσοστό απάτης με Visa παγκοσμίως μειώθηκε κατά 33% μεταξύ 2017 και 2018 και στην Ευρώπη κατά 40%. Ωστόσο, τα στοιχεία από τη UK Finance δείχνουν ότι οι απάτες με ανέπαφες συναλλαγές προκάλεσαν απώλειες 19,5 εκατ. λιρών το 2018, από 14 εκατ. το 2017. Η UK Finance, ωστόσο, σημείωσε ότι αυτό ήταν "χαμηλό" υπό το πρίσμα των συνολικών δαπανών 69 δισ. λιρών για το ίδιο έτος. Και η UK Finance, αλλά και η Visa, αρνήθηκαν ότι είχαν ποτέ καταγράψει υπόθεση απάτης ανέπαφης συναλλαγής στην οποία η κάρτα δεν είχε κλαπεί.

Πώς λειτουργεί το ασύρματο hack

Για να πραγματοποιήσουν το hack τους, οι ερευνητές χρησιμοποίησαν ένα εξειδικευμένο κομμάτι υλικού για να παρεμποδίσουν και να εισάγουν μηνύματα στις επικοινωνίες μεταξύ της κάρτας και του μηχανήματος ανάγνωσης. Για παράδειγμα, θα μπορούσαν να ενημερώσουν την κάρτα ότι δεν χρειάστηκε κωδικός επαλήθευσης, παρόλο που το ζητούμενο ποσό ήταν μεγαλύτερο από 30 λίρες. Στη συνέχεια, δήλωσαν στο τερματικό ότι η επαλήθευση έχει ήδη γίνει με άλλο τρόπο.

Οι ερευνητές δήλωσαν ότι οι έλεγχοι αυτοί δεν είχαν γίνει υποχρεωτικοί από τη Visa, όπως είχαν πράξει οι ανταγωνιστές της. Και καθώς οι τράπεζες ακολουθούν τις κατευθυντήριες γραμμές της Visa, θα μπορούσε να κάνει περισσότερα για να αντιμετωπίσει το ζήτημα, δήλωσε η Galloway. Αν και η Visa είπε ότι οι εκδότες των καρτών είναι τελικά υπεύθυνοι για την επικύρωση των συναλλαγών.

Για την επίθεση με τη χρήση δύο κινητών τηλεφώνων, η Galloway εξήγησε ότι ήταν δυνατό να χρησιμοποιήσει ένα smartphone για να χτυπήσει μια κάρτα και να την "κλωνοποιήσει" αποτελεσματικά για σύντομο χρονικό διάστημα. Αυτό το πρώτο κινητό λαμβάνει το "κρυπτογράφημα πληρωμής" από την κάρτα. Πρόκειται ουσιαστικά για υπογραφή που υποτίθεται ότι εγγυάται τη γνησιότητα των μελλοντικών πληρωμών. Το κρυπτογράφημα αποστέλλεται στο δεύτερο τηλέφωνο, το οποίο προσομοιώνει την κάρτα σαν να έκανε μια πληρωμή μέσω κινητού τηλεφώνου. Οι χάκερ μπορούν στη συνέχεια να υπερβούν το όριο κάνοντας την ίδια κίνηση με πριν.

Ο Stephen Ridgway, συνιδρυτής και επικεφαλής της τεχνολογίας στη startup κυβερνοασφάλειας th4ts3cur1ty.company, δήλωσε ότι η αντιμετώπιση τέτοιων επιθέσεων σε τεχνικό επίπεδο θα μπορούσε να είναι προβληματική. "Μπορεί να μην υπάρχει" γρήγορη λύση "για αυτό, ακόμη και αν οι πάροχοι πληρωμών απαιτούν έλεγχο ταυτότητας για πληρωμές άνω των 30 λιρών, αν η κάρτα και ο αναγνώστης είναι επιρρεπείς σε μια επίθεση "μεσάζοντα" που ξεγελά το σύστημα ώστε να πιστέψει ότι ο έλεγχος ταυτότητας έχει ήδη πραγματοποιηθεί", είπε.

Όσον αφορά στο τι μπορούν να κάνουν οι κάτοχοι καρτών για να προστατευθούν, η διατήρηση των καρτών σε φυσική ασφάλεια είναι ζωτικής σημασίας. Για όσους ανησυχούν ότι κάποιος μπορεί να υποκλέψει την κάρτα τους ενώ αυτή βρίσκεται στο πορτοφόλι τους, υπάρχουν καλύμματα που μπορούν να αποτρέψουν κάτι τέτοιο. Ο Ridgway είπε ότι μια άλλη φθηνή λύση ήταν να χρησιμοποιήσουν ένα κάλυμμα τηλεφώνου, καθώς συχνά παρέχουν την ίδια προστασία. Επίσης η παρακολούθηση των συναλλαγών μπορεί να βοηθήσει τους καταναλωτές να ανιχνεύσουν δόλιες συναλλαγές πριν τις τράπεζες.

Η βελτίωση της ασφάλειας των τραπεζών και η νέα νομοθεσία αναμένεται επίσης να βελτιώσουν την κατάσταση. Ο Ridgway είπε ότι αν η παράκαμψη του ορίου των ανέπαφων συναλλαγών γίνει σύνηθες φαινόμενο, είναι πολύ πιθανό οι πάροχοι πληρωμών να μάθουν γρήγορα να το αναγνωρίζουν και να προστατεύονται. Και οι επερχόμενοι νέοι κανόνες της ΕΕ θα μπορούσαν επίσης να αποδειχθούν ωφέλιμοι. Από τον Σεπτέμβριο του 2019, οι τράπεζες θα πρέπει να εξασφαλίσουν ότι το PIN θα είναι απαραίτητο όταν οι συνολικές πληρωμές χωρίς επαφή υπερβούν την αξία των 130 λιρών ή όταν έχουν πραγματοποιηθεί πέντε ανέπαφες συναλλαγές μέσα σε μια ημέρα.