Токены-призраки: заблокированные карты продолжают работать в Apple Pay и Google Pay

Безопасный VPN через Телеграмм – обойди все блокировки:

Блокировка карты больше не означает безопасность.

Группа исследователей безопасности выявила уязвимости в системах Apple Pay, Google Pay и PayPal, которые позволяют использовать украденные и аннулированные платежные карты для проведения транзакций. Исследование было представлено на конференции Usenix Security 2024.

Эксперты проанализировали критические недостатки в механизмах аутентификации, авторизации и контроля доступа в основных приложениях цифровых кошельков и банках США. Найденные ошибки позволяют злоумышленникам добавлять украденные карты в свои цифровые кошельки и совершать несанкционированные транзакции, даже если карта была аннулирована или заменена.

Например, мошенник может использовать данные украденной кредитной карты (имя владельца и адрес), и добавлять карту в различные цифровые кошельки. Разные кошельки используют разные методы аутентификации, и те из них, которые требуют только адрес или почтовый индекс, становятся лёгкой целью для киберпреступников.

Если владелец карты блокирует или перевыпускает её, злоумышленник всё ещё может использовать карту в своём кошельке для транзакций. Такая ситуация возможна, потому что после добавления карты в цифровой кошелёк банк выдаёт токен, который позволяет совершать покупки и хранится в кошельке. Токен не обновляется после замены карты, а привязывается к новой карте, что позволяет продолжать покупки с использованием старого токена.

Купи VPN в России за минуту через наш Телеграмм-бот:

Исследователи также выяснили, что многие банки допускают использование менее надёжных методов аутентификации, таких как аутентификация на основе знаний (knowledge-based authentication, KBA), вместо более безопасных – многофакторная аутентификация (multi-factor authentication, MFA). Это позволяет мошеннику обойти более строгие меры безопасности, выбрав опцию KBA, которая часто включает в себя проверку по дате рождения и последним четырём цифрам номера социального страхования (social security number, SSN)

  Кампус против казарм: за что Пентагон ополчился на технологический институт Джорджии

Получение такой информации возможно благодаря публичным базам данных и утечкам персональных данных. Недавние утечки номеров социального страхования демонстрируют, насколько легко можно получить информацию для такой проверки.

В ходе экспериментов исследователи смогли успешно использовать заблокированные карты для приобретения подарочных карт и электроники, а также оформить ежемесячные подписки. Злоумышленники даже могут включить автоплатеж, чтобы проводить транзакции даже с заблокированных карт. Банки, стремясь избежать пропущенных платежей и связанных с этим негативных последствий для клиентов, позволяют такие транзакции.

Исследователи сообщили о своих выводах банкам США и поставщикам цифровых кошельков в апреле 2023 года. На момент публикации исследования Google сотрудничает с банками для устранения выявленных проблем в Google Pay. Chase и Citi также заявили, что уязвимости больше не актуальны. Однако Apple, PayPal и другие компании пока не дали комментариев.

Авторы исследования рекомендуют несколько мер для повышения безопасности: использовать push-уведомления вместо одноразовых паролей, применять непрерывную аутентификацию при управлении токенами, а также проверять корректность меток для повторяющихся транзакций.

Невидимка в сети: научим вас исчезать из поля зрения хакеров.

Подпишитесь!

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.
  Учёные: конец Вселенной наступит на 10000 лет раньше

Добавить комментарий

Вернуться наверх