قد تسمح الثغرة الأمنية للمجرمين بتوجيه تهم احتيالية على البطاقات دون الحاجة إلى معرفة أرقام التعريف الشخصية
اكتشف فريق من الباحثين من المعهد الفدرالي السويسري للتكنولوجيا في زيورخ (ETH Zurich) ثغرة أمنية في بروتوكول Visa’s EMV اللاتلامسي الذي قد يسمح للمهاجمين بتنفيذ هجمات تجاوز رقم التعريف الشخصي وارتكاب عمليات احتيال على بطاقات الائتمان.
للسياق ، يوجد عادةً حد للمبلغ الذي يمكنك دفعه مقابل السلع أو الخدمات باستخدام بطاقة بدون تلامس. بمجرد تجاوز الحد ، ستطلب محطة البطاقة التحقق من حامل البطاقة – اكتب رقم التعريف الشخصي.
ومع ذلك ، أظهر البحث الجديد ، بعنوان “معيار EMV: كسر ، إصلاح ، تحقق” ، أن المجرم الذي يمكنه وضع أيديهم على بطاقة ائتمان يمكن أن يستغل الثغرة في عمليات الشراء الاحتيالية دون الحاجة إلى إدخال رقم التعريف الشخصي حتى في الحالات التي يكون فيها المبلغ تجاوز الحد.
أظهر الأكاديميون كيف يمكن تنفيذ الهجوم باستخدام هاتفين يعملان بنظام Android ، وبطاقة ائتمان لا تلامسية ، وتطبيق إثبات مفهوم Android تم تطويره خصيصًا لهذا الغرض.
“الهاتف بالقرب من محطة الدفع هو جهاز محاكاة بطاقة المهاجم والهاتف القريب من بطاقة الضحية هو جهاز محاكي نقاط البيع للمهاجم. وأوضح الباحثون أن أجهزة المهاجم تتواصل مع بعضها البعض عبر شبكة WiFi ، ومع المحطة الطرفية والبطاقة عبر NFC ، مضيفين أن تطبيقهم لا يحتاج إلى أي امتيازات جذر خاصة أو اختراق Android للعمل.
https://www.youtube.com/watch؟v=JyUsMLxCCt8
“يتكون الهجوم من تعديل كائن بيانات مصدره البطاقة مؤهلات معاملات البطاقة– قبل تسليمها إلى الجهاز “، يقرأ وصف الهجوم ، مع التعديل الذي يوجّه الجهاز الطرفي إلى أن التحقق من رقم التعريف الشخصي غير ضروري وأن حامل البطاقة قد تم التحقق منه بالفعل بواسطة جهاز المستهلك.
اختبر الباحثون هجوم تجاوز رقم التعريف الشخصي (PIN) الخاص بهم على أحد بروتوكولات EMV اللاتلامسية الستة (Mastercard و Visa و American Express و JCB و Discover و UnionPay) ؛ ومع ذلك ، فقد افترضوا أنه يمكن تطبيقه على بروتوكولي Discover و UnionPay أيضًا ، على الرغم من عدم اختبارهما في الممارسة العملية. يُستخدم معيار EMV ، وهو معيار البروتوكول الدولي للدفع بالبطاقة الذكية ، في أكثر من 9 مليارات بطاقة حول العالم ، واعتبارًا من ديسمبر 2019 ، تم استخدامه في أكثر من 80٪ من جميع المعاملات الحالية بالبطاقة على مستوى العالم.
جدير بالذكر أن الباحثين لم يختبروا الهجوم في ظروف معملية فحسب ، بل تمكنوا من تنفيذه بنجاح في المتاجر الفعلية ، باستخدام بطاقات Visa Credit و Visa Electron و V Pay. من المؤكد أنهم استخدموا بطاقاتهم الخاصة للاختبار.
وأشار الفريق أيضًا إلى أنه سيكون من الصعب على أمين الصندوق ملاحظة أن شيئًا ما كان على قدم وساق لأنه أصبح أمرًا معتادًا للعملاء لدفع ثمن البضائع باستخدام هواتفهم الذكية.
كشفت الأبحاث أيضًا عن ثغرة أمنية أخرى ، والتي تتضمن معاملات بدون اتصال يتم إجراؤها إما عن طريق Visa أو بطاقة Mastercard قديمة. خلال هذا الهجوم ، يقوم المجرم الإلكتروني بتعديل البيانات التي تنتجها البطاقة والتي تسمى “تشفير المعاملات” قبل تسليمها إلى الجهاز.
ومع ذلك ، لا يمكن للجهاز التحقق من هذه البيانات ، ولكن فقط من قبل جهة إصدار البطاقة ، أي البنك. لذلك ، بحلول وقت حدوث ذلك ، يكون المحتال طويلًا في مهب الريح والبضائع في متناول اليد. لأسباب أخلاقية ، لم يختبر الفريق هذا الهجوم على المحطات الطرفية الواقعية.
أخطر الفريق Visa باكتشافاتها.