Исследователи обнаружили, что ведущие цифровые платежные системы, такие как Apple Pay, Google Pay и PayPal, могут использоваться для совершения мошеннических покупок с помощью украденных и отмененных платежных карт.
Добавив карту к цифровому кошельку, злоумышленники могут воспользоваться недостатком аутентификации, авторизации и получить доступ к механизмам контроля основных программ цифрового кошелька.
Ученые по безопасности представили детали этого бага на конференции Usenix security 2024, а в исследовательской статье очертили вероятные сценарии, в которых полные имена жертв (которые уже напечатаны на карточках) и адрес жертвы могут быть использованы для аутентификации карты, добавленной к цифровому кошельку.
Процесс можно осуществить, если злоумышленник выберет аутентификацию на основе знаний (KBA) вместо многофакторной аутентификации (MFA), такой как одноразовый пароль, отправленный электронной почтой, текстовым сообщением или звонком.
Некоторые схемы KBA даже не требуют нескольких точек данных — многим нужен почтовый индекс, адрес выставления счета, дата рождения или последние четыре цифры номера социального страхования. Как только это будет получено, мошенник может свободно совершать покупки с помощью цифровой карты.
Что еще хуже, отмена или блокировка карты не обязательно останавливает мошенника, поскольку, когда карта аутентифицирована, банк выдает токен, авторизующий покупки и хранящийся в цифровом кошельке. Так что преступники могут повторно связать кошелек с заменяемой картой один раз.
Повторяющиеся транзакции также могут быть использованы для эксплуатации жертвы, когда покупки с пометкой «повторяющиеся» обрабатываются, даже если карта заблокирована.