Kifizetések Afrika
Nagyon sok eredmény született az elmúlt napokban Las Vegasban megrendezett Black Hat USA 2018 konferenciáról. Az egyik kritikus figyelem, amely ilyen felfedezést igényel, a Positive Technologies kutatóinak, Leigh-Anne Galloway és Tim Yunusov hírei, akik előkerültek, hogy megvilágítsák az egyre alacsonyabb költségű fizetési módok támadásait.
A két kutató szerint a hackerek megtalálták a módját a hitelkártya-információk ellopására vagy a tranzakciós összegek manipulálására, hogy ellopják a felhasználókat. Ennek a taktikának a megvalósításához sikerült kifejleszteniük az olcsó mobil fizetési kártyákhoz tartozó kártyaolvasókat. Mivel az emberek egyre inkább alkalmazzák ezt az új és egyszerű fizetési módot, elsődleges célpontként járnak azokhoz a hackerekhez, akik ezen a csatornán keresztül sajátították el a lopást.
A két kutató különösen elmagyarázta, hogy ezeknek a fizetési módoknak az olvasói biztonsági rései lehetővé tehetik valakinek, hogy manipulálja azt, amit az ügyfelek a fizetési képernyőkön láthatnak. Ez lehetővé teheti egy hacker számára, hogy manipulálja a valódi tranzakció összegét, vagy lehetővé tegye a gép számára, hogy megmutassa, hogy a fizetés első alkalommal sikertelen volt, ami egy második fizetést indított el, ami ellopható volt. A két kutató támogatta ezeket az állításokat azáltal, hogy tanulmányozta az olvasók biztonsági hibáit az Egyesült Államok és Európa négy vezető értékesítési helyén működő cégnél: a Square, a PayPal, a SumUp és az iZettle.
Ha egy kereskedő ilyen módon nem szándékos szándékkal jár, akkor az olvasókban talált másik biztonsági rés lehetővé teheti egy távoli támadó számára, hogy pénzt is ellopjon. Galloway és Yunusov felfedezték, hogy az olvasók Bluetooth-párosításának módja nem volt biztonságos módszer, mivel ehhez nem kapcsolódási értesítés vagy jelszó megadás / visszakeresés volt társítva. Ez azt jelenti, hogy a hatótávolságon belüli véletlenszerű támadók képesek elfogni az eszköz által fenntartott Bluetooth-kapcsolat kommunikációját egy mobilalkalmazással és a fizetési szerverrel a tranzakció összegének megváltoztatása érdekében.
Fontos megjegyezni, hogy a két kutató elmagyarázta, hogy ennek a sebezhetőségnek a távoli kihasználását még nem hajtották végre, és hogy e hatalmas sebezhetőségek ellenére a kihasználások általában még nem vették fel a lendületet. Az ezekért a fizetési módokért felelős vállalatokat áprilisban értesítették, és úgy tűnik, hogy a négy közül a Square vállalat gyorsan felhívta a figyelmet és úgy döntött, hogy megszünteti a sebezhető Miura M010 Reader támogatását.
A kutatók arra figyelmeztetik a felhasználókat, akik fizetés céljából ezeket az olcsó kártyákat választják, hogy nem biztos, hogy biztonságos fogadás. Azt tanácsolják, hogy a felhasználók chipet és PIN-kódot, chipet és aláírást, vagy érintés nélküli módszereket alkalmazzanak a mágnescsík ellopása helyett. Ezen felül a felhasználóknak a dolgok eladásánál jobb és biztonságosabb technológiákba kell befektetniük, hogy biztosítsák vállalkozásuk megbízhatóságát és biztonságát.
