Дослідники виявили, що провідні цифрові платіжні системи, такі як Apple Pay, Google Pay і PayPal, можуть використовуватися для здійснення шахрайських покупок за допомогою вкрадених і скасованих платіжних карток.
Додавши картку до цифрового гаманця, зловмисники можуть скористатися недоліком автентифікації, авторизації та отримати доступ до механізмів контролю основних програм цифрового гаманця.
Вчені з безпеки представили деталі цього багу на конференції Usenix security 2024, а в дослідницькій статті окреслили вірогідні сценарії, у яких повні імена жертв (які вже надруковані на картках) та адреса жертви можуть бути використані для автентифікації картки, доданої до цифрового гаманця.
Процес можна здійснити, якщо зловмисник вибере автентифікацію на основі знань (KBA) замість багатофакторної автентифікації (MFA), такої як одноразовий пароль, надісланий електронною поштою, текстовим повідомленням або дзвінком.
Деякі схеми KBA навіть не вимагають кількох точок даних — багатьом потрібен лише поштовий індекс, адреса виставлення рахунку, дата народження або останні чотири цифри номера соціального страхування. Як тільки це буде отримано, шахрай може вільно робити покупки за допомогою цифрової картки.
Що ще гірше, скасування або блокування картки не обов’язково зупиняє шахрая, оскільки, коли картка автентифікована, банк видає токен, який авторизує покупки та який зберігається в цифровому гаманці. Тож злочинці можуть повторно пов’язати гаманець із замінною карткою один раз.
Повторювані транзакції також можуть бути використані для експлуатації жертви, коли покупки з позначкою «повторювані» обробляються, навіть якщо картку заблоковано.
