Неділя, 22 Грудня, 2024

Apple Pay та Google Pay дозволяють зручно розплачуватися краденими кредитками

Дослідники виявили, що провідні цифрові платіжні системи, такі як Apple Pay, Google Pay і PayPal, можуть використовуватися для здійснення шахрайських покупок за допомогою вкрадених і скасованих платіжних карток.

Додавши картку до цифрового гаманця, зловмисники можуть скористатися недоліком автентифікації, авторизації та отримати доступ до механізмів контролю основних програм цифрового гаманця.

Вчені з безпеки представили деталі цього багу на конференції Usenix security 2024, а в дослідницькій статті окреслили вірогідні сценарії, у яких повні імена жертв (які вже надруковані на картках) та адреса жертви можуть бути використані для автентифікації картки, доданої до цифрового гаманця.

Процес можна здійснити, якщо зловмисник вибере автентифікацію на основі знань (KBA) замість багатофакторної автентифікації (MFA), такої як одноразовий пароль, надісланий електронною поштою, текстовим повідомленням або дзвінком.

Деякі схеми KBA навіть не вимагають кількох точок даних — багатьом потрібен лише поштовий індекс, адреса виставлення рахунку, дата народження або останні чотири цифри номера соціального страхування. Як тільки це буде отримано, шахрай може вільно робити покупки за допомогою цифрової картки.

Що ще гірше, скасування або блокування картки не обов’язково зупиняє шахрая, оскільки, коли картка автентифікована, банк видає токен, який авторизує покупки та який зберігається в цифровому гаманці. Тож злочинці можуть повторно пов’язати гаманець із замінною карткою один раз.

Повторювані транзакції також можуть бути використані для експлуатації жертви, коли покупки з позначкою «повторювані» обробляються, навіть якщо картку заблоковано.

НАПИСАТИ ВІДПОВІДЬ

Коментуйте, будь-ласка!
Будь ласка введіть ваше ім'я

Євген
Євген
Євген пише для TechToday з 2012 року. Інженер за освітою. Захоплюється реставрацією старих автомобілів.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися