ИТ поддержка по всей России 24/7

На этот раз проблема возникла в системе оплаты общественного транспорта в крупных городах США. Очевидно, что оплата проезда общественного транспорта в современном мегаполисе требует максимальной скорости. Любая, даже незначительная задержка в процессе аутентификации платежа, мгновенно приведет к образованию очередей у турникетов и существенно замедлит движение пассажиропотока в часы-пик. И здесь Apple, Google и Visa приняли поистине странное решение: вместо того, чтобы отсрочить аутентификацию или постараться как-либо ускорить ее, они решили отказаться от аутентификации вообще. Среди систем безналичных платежей, здесь сейчас речь идет исключительно о Visa. MasterCard и другие компании уже успели исправить выявленный недостаток.

Что говорят специалисты?

Исследователи компьютерной безопасности из компании Positive Technologies протестировали ряд телефонов и обнаружили существенный недостаток, позволяющий злоумышленникам совершать практически любые покупки, с помощью украденных смартфонов со включенной системой экспресс-оплаты проезда на транспорте. Вплоть до июня 2021 года покупки можно было совершать в любых PoS-терминалах, а не только на турникетах транспорта. При этом, на iPhone платежи проходили даже в случае, если батарея смартфона была разряжена.

До 2019 года Apple Pay и Samsung Pay на допускали проведения платежей в случае, если телефон не был разблокирован с помощью отпечатка пальца или PIN кодом. Однако теперь это стало можно обойти именно при помощи системы оплаты проезда на общественном транспорте или функции экспресс-транзакций Apple.

Выявленную проблему начали довольно оперативно устранять, но риск все еще существует и варьируется в зависимости от сочетания системы, обслуживающей платежную карту (MasterCard, Visa и т.д.) и типа смартфона.

Например, при комбинации Visa и Apple Pay, любой человек может взять чужой телефон, даже выключенный, пойти в любой магазин с PoS терминалом и совершить любую покупку. До июня 2021 года то же самое могло произойти с MsterCard и Samsung Pay. Стоит заметить, что последние проблему устранили, правда сделали это молча, не выпуская каких-либо официальных заявлений по этому поводу.

По заявлениям экспертов, наибольшему риску сейчас подвергаются так же смартфоны с Google Play и включенным NFC. В этом случае злоумышленники могут полностью клонировать привязанную к телефону карту MasterCard и в течении некоего периода времени использовать ее для покупки товаров.

Даже после всех внесенных изменений, оперативно внесенных MasterCard, все еще существует возможность мошенничества с потерянными мобильными кошельками практически всех известных систем. Однако для последнего все же потребуется наличие специального оборудование, такое как модифицированные POS терминалы или прямой доступ к потоку транзакций.

Учитывая, что все указанные случаи подразумевают кражу мобильного телефона, возникает довольно интересный вопрос общей ИТ безопасности. На сегодняшний день, стандартные протоколы цифровой безопасности подразумевают что, в случае кражи или утери, устройство как можно быстрее помечается как «вероятно украденное», что является удаленной командой для его полной очистки и блокировки. Теоретически, это устраняет любой дальнейший риск. Однако, это не сработает, если устройство не подключено к интернету, выключено или у него полностью разряжена батарея. И здесь мы напомним, что система экспресс-платежей Apple позволяет проводить транзакции даже с разряженного телефона.

Еще одним важным вопросом здесь будет: как доказать, что не сам пользователь совершил покупку? Некоторым жертвам может повезти, если около PoS терминала располагалась камера видеонаблюдения, или человек сможет доказать, что в момент покупки находился в совершенно другом месте. Но это частные случаи, и очевидно, что такое везение может происходить далеко не в каждом случае.

В целом, крупные компании снова встали перед вечным вопросом — как сделать так, чтобы удобство было не в ущерб безопасности. Да, замедление движения пассажиропотока при входе на станцию метро крупного города, очевидно, плохой сценарий. Однако, создание окон для целого ряда новых мошеннических схем и добавление своим пользователем целого ряда новых потенциальных проблем — еще хуже.