На думку експерта з безпеки, баланс між платежами з телефонів і стандартами безпеки, необхідними для захисту цих транзакцій, занадто сильно змінився в неправильному напрямку. На сесії в Black Hat Europe 2021 Тимур Юнусов, старший експерт з безпеки в Positive Technologies, пояснив недоліки в додатках для безконтактних платежів, які можуть призвести до шахрайства з використанням втрачених або вкрадених мобільних телефонів.
Юнусов спеціалізується на безпеці платежів і додатків. За словами Юнусова, ключем до цього шахрайства є зручність оплати квитків на метро і автобуси без розблокування телефону. Користувачі в США, Великобританії, Китаї та Японії можуть додати платіжну картку на смартфон і активувати її як транспортну картку.
“Для здійснення атаки смартфони з Samsung Pay і Apple Pay повинні бути зареєстровані в цих країнах, але карти можуть бути випущені в будь-якому іншому регіоні, – сказав Юнусов. – Вкрадені телефони також можна використовувати в будь-якому місці, і те ж саме можливо з Google Pay”.
Юнусов та інші дослідники Positive Technologies протестували серію платежів, щоб побачити, скільки грошей можна витратити на одну транзакцію за допомогою цього методу. Вони зупинилися на 101 фунті.
Навіть останні моделі iPhone дозволяли здійснювати платежі в будь-якому POS-терміналі, навіть якщо батарея телефону розрядилася. За умови, що телефон використовував карту Visa для оплати і включив режим експрес-транзиту.
У Positive Technologies заявили, що Apple, Google і Samsung були повідомлені про виявлені уразливості в березні, січні і квітні 2021 року відповідно. Ці компанії заявили, що не планують вносити будь-які зміни в свої системи, але попросили дозволу поділитися висновками та звітами з платіжними системами.
“Єдина проблема полягає в тому, що зараз великим компаніям, таким як MasterCard, Visa і AMEX, не потрібно слідувати цим стандартам, коли ми говоримо про платежі NFC – ці компанії розійшлися на початку 2010-х років, і тепер всі тут роблять те, що хочуть”, – сказав він.
Програми Apple Pay, Google Pay і Samsung Pay уразливі для цієї загрози. За словами Юнусова, схоже, є різниця, якщо людина використовує карту Visa для оплати замість Mastercard або American Express.
“MasterCard вирішила, що ODA є важливою частиною їх механізмів безпеки, і буде дотримуватися цього, – сказав він. – Тому всі термінали по всьому світу, які приймають карти MC, повинні виконувати ODA, і якщо це не вдасться, транзакція NFC повинна бути відхилена”.
За словами Юнусова, Visa не використовує цю перевірку ODA у всіх терміналах торгових точок.
Представник Visa заявив у відповідь, що карти Visa, підключені до мобільних гаманців з функціями транзиту, безпечні і що більшість схем безконтактного шахрайства вивчалися в лабораторних умовах більше десяти років і виявилися непрактичними для масштабування в реальному світі.
“Для захисту платежів використовуються кілька рівнів безпеки, і споживачі отримують вигоду від гарантії нульової відповідальності Visa, – сказав прес-секретар. – Visa серйозно ставиться до всіх загроз безпеці і постійно розвиває свої можливості щодо забезпечення безпеки платежів, щоб захистити власників карток від новітніх загроз реального світу”.
Юнусов сказав, що виробники телефонів і платіжні компанії повинні працювати разом, щоб усунути цю вразливість. Насправді Apple і Samsung переклали відповідальність на Visa і MasterCard, сказав він, хоча проблема не в продуктах платіжних компаній.
“Мобільні гаманці знаходяться у вигідному становищі – з одного боку, платіжні компанії заробляють гроші на транзакціях і популяризують свої продукти, – сказав Юнусов. – З іншого боку, вони говорять клієнтам, якщо є будь-яке шахрайство, зв’язатися з банком-емітентом, щоб запитати, чому вони дозволили платіж”.
Юнусов сказав, що вирішення проблеми полягає в тому, щоб враховувати ціну, код продавця і статус телефону для кожної транзакції.
“Якщо оплата становить 0,00 долара, телефон заблокований, а код MCC – транспорт, це законна транзакція, коли хтось платить в метро. Але якщо платіж становить 100 доларів, телефон був розблокований, а MCC – це супермаркет, – це підозріло, – каже він. – Тому що клієнти не повинні платити в супермаркетах без розблокування телефону”.
