4
2
3.33
0
IT-специалисты сообщили, как защититься от злоумышленников в Apple и Google.
Исследователи в области информационной безопасности обнаружили, что цифровые кошельки Apple Pay, Google Pay и PayPal могут использоваться злоумышленниками для проведения транзакций с использованием украденных и аннулированных платежных карт.
Недостатки цифровых кошельков позволяют преступникам добавить номер украденной карты в кошелек и совершать покупки, даже если карта впоследствии будет аннулирована и заменена.
Об этом сообщила группа специалистов по информационной безопасности — Раджа Хаснаин Анвар (UMass Amherst), Сайед Рафиул Хуссейн (Penn State) и Мухаммад Таки Раза (UMass Amherst) — в докладе на конференции Usenix Security 2024.
«Вероятный сценарий атаки выглядит следующим образом: злоумышленник крадет у человека кредитную карту. Используя имя владельца карты (которое напечатано на карте), преступник определяет адрес жертвы с помощью онлайн-баз данных. Если владелец карты заблокирует ее, то это не окажет никакого влияния на кошелек злоумышленника, который по-прежнему будет иметь доступ к карте для совершения транзакций», – говорится в докладе IT-специалистов.
Выбор схемы аутентификации основан на знаниях базы KBA вместо более безопасной схемы многофакторной аутентификации MFA — например, одноразового пароля, отправленного по SMS, электронной почте или по телефону. Банки часто разрешают это, потому что так удобнее.
Мошенник звонит на автоматизированную линию поддержки банка, чтобы добавить карту в кошелек. Линия поддержки предлагает злоумышленнику предоставить информацию, связанную с KBA: дату рождения и последние четыре цифры SSN [номера социального страхования], связанного с картой жертвы.
Некоторые схемы KBA не требуют двух точек данных. Это может быть просто одно из нескольких возможных значений: почтовый индекс выставления счета или адрес выставления счета.
Авторы исследования утверждают, что такая информация часто доступна в Интернете благодаря службам поиска людей, публичным записям и «свалкам» данных.
«Например, мы успешно приобрели подарочную карту Apple на $25 и AirPods на $179 с помощью заблокированной кредитной карты. Банки разрешают повторяющиеся платежи по заблокированным картам, чтобы выполнить договор между пользователем и продавцом, чтобы подписные услуги продолжались и не возникали отрицательные кредитные события за пропущенные платежи по подписке. Но эта особая обработка повторяющихся платежей может быть использована хакерами», – предупредил исследователь Раджа Хаснаин Анвар.
На данный момент Google заверил, что работает с банками над устранением выявленных проблем в Google Pay. Ответов от AMEX, BoA [Bank of America], US Bank, Apple и PayPal специалисты пока не получили.
Они рекомендовали несколько мер по смягчению последствий: внедрение push-уведомлений (банковское приложение, Duo Mobile, Microsoft Authenticator) или кодов доступа (Google Authenticator) вместо традиционных одноразовых паролей; использование непрерывной аутентификации при управлении токенами; и проверка банками повторяющихся транзакций, чтобы убедиться, что они правильно помечены.
