Edhe pse Visa lëshoi ​​një paralajmërim në lidhje me një përdorues të ri JavaScript të internetit të njohur si Baka, studiuesit e sigurisë kibernetike kanë zbuluar një defekt të vërtetimit në kartat e pagesave të aktivizuara të kompanisë EMV. Ai lejon kriminelët kibernetikë të marrin fonde dhe të mashtrojnë mbajtësit e kartave si dhe tregtarët në mënyrë të paligjshme.

Hulumtimi, botuar nga një grup akademikësh nga ETH Cyrihu, është një sulm bajpas PIN. Ky i fundit lejon kundërshtarët të përdorin kartën e kreditit të vjedhur ose të humbur të një viktime për të bërë blerje me vlerë të lartë. Kjo mund të bëhet dhe pa njohuri për PIN-in e kartës. Madje mund të mashtrojnë një pikë të terminalit të shitjes (PoS) në pranimin e një transaksioni jo-autentik me kartë jashtë linje.

Të gjitha kartat moderne pa kontakt që përdorin protokollin Visa, duke përfshirë kartat Visa Credit, Visa Debit, Visa Electron dhe V Pay, preken nga defekti i sigurisë. Por, studiuesit pohuan se mund të zbatohej në protokollet EMV të zbatuara nga Discover dhe UnionPay. Megjithatë, boshllëku nuk ndikon në Mastercard, American Express dhe JCB.

Modifikimi i Kualifikuesve të Transaksionit të Kartave përmes Sulmit MitM

EMV (shkurtimi për Europay, Mastercard dhe Visa) është standardi ndërkombëtar i protokollit i përdorur gjerësisht për pagesën e kartës inteligjente. Ai kërkon që shuma më të mëdha të debitohen vetëm nga kartat e kreditit me një kod PIN.

Por konfigurimi i hartuar nga studiuesit e ETH shfrytëzon një defekt kritik në protokoll. Defektin e përdor për të instaluar një sulm njeriu në mes (MitM). Kjo realizohet përmes një aplikacioni Android. Ai “udhëzon terminalin që verifikimi PIN nuk kërkohet sepse verifikimi i mbajtësit të kartës ishte kryer në pajisjen e konsumatorit”.

Çështja buron nga fakti se metoda e verifikimit të mbajtësit të kartelës (CVM), e cila përdoret për të verifikuar nëse një individ që përpiqet të bëjë një transaksion me një kartë krediti ose debiti është mbajtësi i kartës legjitime, nuk është e mbrojtur në mënyrë kriptografike nga modifikimi.

Për më tepër, studiuesit zbuluan një dobësi të dytë. Ajo përfshin transaksione offline pa kontakt të kryera ose nga një Visa ose nga një kartë e vjetër Mastercard. Kështu lejohet sulmuesi të ndryshojë një pjesë specifike të të dhënave të quajtur “Aplikimi Kriptogram (AC)” para se të dorëzohet në terminal.

Kartat jashtë linje zakonisht përdoren për të paguar direkt për mallra dhe shërbime. Kjo bëhet nga llogaria bankare e një mbajtësi të kartelës pa kërkuar një numër PIN. Por meqenëse këto transaksione nuk janë të lidhura me një sistem në internet, ka një vonesë prej 24 deri në 72 orë para se banka të konfirmojë legjitimitetin e transaksionit duke përdorur kriptogramin dhe shuma e blerjes debitohet nga llogaria.

Një kriminel mund të përdorë këtë mekanizëm të vonuar të përpunimit për të përdorur kartën për të përfunduar një transaksion me vlerë të ulët dhe jashtë linje pa u akuzuar. Por duhet të heqë blerjet në kohën kur banka lëshuese refuzon transaksionin për shkak të kriptogramit të gabuar.

Kjo përbën një sulm”drekë falas” në kuptimin që krimineli mund të blejë mallra ose shërbime me vlerë të ulët pa u akuzuar fare. Natyra me vlerë të ulët e këtyre transaksioneve nuk ka gjasa të jetë një “model biznesi tërheqës për kriminelët”.