Преступники могут украсть ваши деньги даже с заблокированной карты

Безопасный VPN через Телеграмм – обойди все блокировки:

Исследователи рассказывают об уязвимостях в Apple Pay, Google Pay и PayPal.

Группа исследователей из Массачусетского университета и Государственного университета Пенсильвании обнаружила критические уязвимости в популярных цифровых кошельках Apple Pay, Google Pay и PayPal. Их исследование, представленное на недавней конференции Usenix Security 2024, показало, что злоумышленники могут добавлять в свои цифровые кошельки номера украденных кредиток и совершать с ними покупки, даже если владелец решил заблокировать карту.

По словам Раджи Хаснайна Анвара, докторанта кафедры электротехники и информатики UMass Amherst и ведущего автора исследования, главная проблема – бреши в системах аутентификации приложений для цифровых кошельков и банков США.

Типичный сценарий такой атаки выглядит следующим образом. Сначала злоумышленник (назовем его Саша) крадет кредитную карту. Зная имя держателя карты, напечатанное на ней, Саша определяет адрес жертвы, используя онлайн-базы данных. Затем он пытается добавить украденную карту в различные цифровые кошельки. Поскольку каждый кошелек использует разные методы аутентификации, преступник выбирает тот, где для подтверждения достаточно указать адрес или почтовый индекс.

Купи VPN в России за минуту через наш Телеграмм-бот:

После этого Саша может продолжать пользоваться кредиткой, даже если владелец ее заблокирует. Проблема в том, что банки не проверяют, действительно ли кошелек принадлежит держателю карты при обновлении токена авторизации. Вместо этого они автоматически переносят токен на новую карту, выпущенную взамен утраченной.

Кроме того, банки разрешают проведение повторяющихся транзакций, даже если карта заблокирована. Это тоже можно использовать в атаке. Например, Саша может зарегистрироваться на сайте Turo.com, добавить туда скомпрометированный счет как способ оплаты, а затем забронировать и оплатить поездку. Несмотря на то, что кредитка неактивна, Turo все равно проведет оплату, маркируя ее как «повторяющуюся».

  Apple исследует робототехнику в поисках жизни за пределами iPhone

Злоумышленник также может обмануть банк, чтобы тот использовал менее надежные методы аутентификации при добавлении карты в цифровой кошелек. Вместо двухфакторной аутентификации (SMS, email или звонок) Саша может просто ввести дату рождения и последние 4 цифры СНС, которые часто можно найти в открытых источниках. В магазинах кассиры тоже не обязаны проверять личность держателя карты — достаточно верификации устройства.

Исследователи сообщили о найденных уязвимостях ведущим банкам и разработчикам кошельков в апреле 2023 года. Google подтвердил, что работает над их устранением, однако другие компании пока не предприняли ответных действий. Apple, PayPal и Bank of America не отвечают на запросы журналистов.

Кодовое слово дня — безопасность.

Узнай больше — подпишись на нас!

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.

Добавить комментарий

Вернуться наверх