Tak zapłacisz kartą bez PIN-u. Trik działa na dowolną kwotę

Sprawa jest naprawdę poważna, bo dotyczy możliwości dokonania transakcji bezgotówkowej na dowolną kwotę, bez jakiegokolwiek poświadczenia. Mówiąc wprost, złodziej może ukraść kartę i nawet nie znając PIN-u, szaleć do woli. Na szczęście, atak jest dość skomplikowany, przez co typowy opryszek raczej sobie z nim nie poradzi, ale furtka mimo wszystko pozostaje.

Zagadnienie przedstawiono podczas 30. edycji sympozjum USENIX Security na przykładzie karty Maestro. Eksperci dodają jednak, że analogicznie obejść można zabezpieczenia Mastercard, przypominając przy tym o zeszłorocznej prezentacji na Visie. Również podobnej od strony technicznej.

Do przeprowadzenia ataku napastnik potrzebuje dwóch telefonów z Androidem i specjalnie spreparowanym oprogramowaniem, którego oczywiście ze zrozumiałych przyczyn nie opublikowano, a także, co równie oczywiste, skradzioną kartę płatniczą. Pierwsze urządzenie w tej układance naśladuje terminal POS, by łącząc się z kartą, wyciągnąć sygnatury i autoryzować transakcję. Drugie z kolei służy wprost do płacenia. Tak, jak się robi to z Google Pay. 

Summa summarum cały proces można przeprowadzić wyjątkowo dyskretnie. Skradzioną kartę wraz z emulatorem terminala pozostawić w kieszeni i zapłacić standardowo telefonem, co w dzisiejszych czasach nie budzi już najmniejszych podejrzeń. Jak to wygląda w praktyce, doskonale widać na zamieszczonym powyżej nagraniu. Sprzedawca nie ma szans połapać się w przekręcie.

Badacze nie chcą publicznie ujawniać żadnych dalszych szczegółów i trudno się im dziwić. Zaznaczają też, że atak jest skomplikowany, ale możliwy do wykonania, i co kluczowe, bazuje na exploicie znanym już od dłuższego czasu. Nie ukrywajmy, nawet pomimo dużych wymagań wobec napastnika, zdecydowanie nie jest to wiadomość, którą miliony użytkowników kart chciałyby teraz usłyszeć. 

Źródło zdjęć: Unsplash (rupixen)

Źródło tekstu: ETH Zurich, oprac. własne