Συνεχης ενημερωση

    Τετάρτη, 31-Ιουλ-2019 08:35

    Αποκλειστικό: Πώς οι χάκερς μπορούν να σας κλέψουν με τις ανέπαφες συναλλαγές της κάρτας Visa

    Αποκλειστικό: Πώς οι χάκερς μπορούν να σας κλέψουν με τις ανέπαφες συναλλαγές της κάρτας Visa
    • Εκτύπωση
    • Αποστολή με email
    • Προσθήκη στη λίστα ανάγνωσης
    • Μεγαλύτερο μέγεθος κειμένου
    • Μικρότερο μέγεθος κειμένου

    Του Thomas Brewster

    Θεωρείτε ότι το όριο των 30 λιρών στις ανέπαφες συναλλαγές με κάρτα μπορεί να σας προστατεύσει από κλοπές; Ξανασκεφτείτε το.

    Ερευνητές ασφάλειας βρήκαν έναν τρόπο να παρακάμψουν αυτό το όριο στις κάρτες Visa. Η παραβίασή τους, η οποία δεν περιορίζεται σε κάρτες του Ηνωμένου Βασιλείου, θα μπορούσε να επιτρέψει σε καιροσκόπους απατεώνες να αδειάσουν λογαριασμούς με μια μόνο κίνηση και ισχυρίζονται ότι δεν χρειάζεται καν να κλέψουν την πιστωτική κάρτα. Και από την πλευρά της Visa, λίγα γίνονται για να αντιμετωπιστεί αυτή η νέα απειλή.

    Το Forbes άφησε τους ερευνητές Leigh-Anne Galloway και Tim Yunusov από την εταιρία κυβερνο-ασφάλειας Positive Technologies να κάνουν δοκιμή σε μια προσωπική κάρτα Visa. Κατάφεραν να αποσπάσουν τρεις επιτυχείς πληρωμές ύψους 31 λιρών. Στις δικές τους κάρτες έκαναν ανέπαφες πληρωμές ύψους 101 λιρών, αν και είναι πιθανό να υπάρχει δυνατότητα κλοπής μεγαλύτερου πεσού με ένα μόνο πέρασμα κάρτας.

    Τα χακαρίσματά τους δείχνουν πως η απάτη των ανέπαφων συναλλαγών θα μπορούσε να χειροτερεύσει. Συνήθως, εάν μια τράπεζα δει πολλαπλές ανέπαφες πληρωμές αξίας 30 λιρών, η κάρτα σταματά να λειτουργεί, καθώς τα συστήματα ανίχνευσης απάτης υποψιάζονται ότι είναι στα χέρια κλέφτη. Αν όμως είναι δυνατό να πραγματοποιηθούν μεγάλες συναλλαγές με ένα πέρασμα, αυξάνεται η πιθανότητα για μεγάλες απάτες. 

    Κλέφτες καρτών μπορούν τώρα να κάνουν μεγαλύτερες πληρωμές σε σχέση το παρελθόν. Αλλά τώρα, δεν χρειάζεται καν να κλέψουν την κάρτα. Οι εγκληματίες θα μπορούσαν, για παράδειγμα, να κάνουν μια πληρωμή από μια κάρτα, όταν ο χρήστης δεν προσέχει, με τη δική τους μηχανή πληρωμών μέσω κινητού τηλεφώνου (αν και ένας κακόβουλος έμπορος τελικά θα πιαστεί από τα συστήματα απάτης των τραπεζών, εάν χρησιμοποιεί το ίδιο τερματικό). Ή ακόμα πιο επιδέξια, είναι εφικτό κανείς να υποκλέψει τα στοιχεία πληρωμής από μια πιστωτική κάρτα χρησιμοποιώντας ένα κινητό τηλέφωνο, να στείλει τα δεδομένα σε άλλο τηλέφωνο και να κάνει την πληρωμή αυτή η δεύτερη συσκευή ξεπερνώντας το όριο, ισχυρίστηκαν οι ερευνητές. Για να δουλέψει το χακάρισμα, οι απατεώνες πρέπει να είναι κοντά στο θύμα τους.

    "Αυτό σημαίνει ότι εάν βρίσκατε την κάρτα κάποιου ή κάποιος έκλεβε τη δική σας κάρτα σας, δεν θα χρειαζόταν να γνωρίζει τον κωδικό PIN, δεν θα έπρεπε να πλαστογραφήσει την υπογραφή σας και θα μπορούσε να κάνει μια πληρωμή πολύ υψηλότερης αξίας", δήλωσε η Galloway.

    Θα έπρεπε να υπάρχουν κάποια όρια στο πόσα θα μπορούσε να κλέψει ένας χάκερ. Η Galloway είπε ότι, αν και οι κλέφτες θα μπορούσαν να ξεπεράσουν τις 101 λίρες που δοκίμασαν εκείνοι, κατά εκατοντάδες ή πιθανόν χιλιάδες λίρες, τα συστήματα ανίχνευσης απάτης στις τράπεζες μπορεί να εντοπίζουν τυχόν ασυνήθιστα ​​υψηλές συναλλαγές. "Αυτό που βρήκαμε είναι ότι στην πραγματικότητα, μπορούμε να κάνουμε λογικοφανείς πληρωμές υψηλής αξίας. Έτσι, στο Ηνωμένο Βασίλειο, είμαστε σε θέση να πραγματοποιούμε πληρωμές ύψους 100 λιρών χωρίς καμία ανίχνευση", πρόσθεσε.

    Οι ερευνητές εξακολουθούν να εξετάζουν εάν το χακάρισμα θα λειτουργούσε σε άλλα μέρη του κόσμου, αλλά η Galloway επιβεβαίωσε ότι δεν περιοριζόταν σε μια μόνο χώρα. Το όριο, φυσικά, διαφέρει μεταξύ των κρατών. Για παράδειγμα, στις ΗΠΑ, είναι σημαντικά υψηλότερο από τα 100 δολάρια.

    Δεν υπάρχει καμία λύση;

    Αυτό δεν αλλάζει, όμως, τη διαπίστωση ότι το όριο για τις κάρτες Visa μπορεί να παραβιαστεί. Ωστόσο η Visa δεν σχεδιάζει να ενημερώσει τα συστήματά της για να αντιμετωπίσει την "επίθεση". Ο γίγαντας του χρηματοπιστωτικού κλάδου ισχυρίστηκε ότι μια τέτοια αδράνεια δεν θα ήταν πιθανό να εκδηλωθεί στον πραγματικό κόσμο, καθώς οι εγκληματίες θα χρειαζόταν να έχουν τα χέρια τους την κάρτα και αυτό δεν συμβαίνει συχνά. Ένας εκπρόσωπος της εταιρείας είπε ότι παρά την έρευνα δεν υπήρχε κάποιο πρόβλημα ασφαλείας που έπρεπε να αντιμετωπιστεί.

    "Ένας βασικός περιορισμός αυτού του τύπου επίθεσης είναι ότι απαιτεί μια φυσικά κλεμμένη κάρτα, η κλοπή της οποίας δεν έχει ακόμα αναφερθεί στον εκδότη της κάρτας", δήλωσε ένας εκπρόσωπος της Visa στο Forbes, σημειώνοντας ότι η Visa εργάζεται συνεχώς για τη βελτίωση της τεχνολογίας ανίχνευσης απάτης. "Ομοίως, η συναλλαγή πρέπει να περάσει επικυρώσεις εκδότη και πρωτόκολλα ανίχνευσης. Δεν είναι μια κλιμακούμενη προσέγγιση απάτης που συνήθως βλέπουμε να κάνουν οι εγκληματίες στον πραγματικό κόσμο".

    Η Galloway διαφώνησε στο ότι ο απατεώνας θα χρειαζόταν να κλέψει την κάρτα. Όπως έδειξαν οι δοκιμές, ο χάκερ χρειάζεται μόνο να φτάσει αρκετά κοντά στην κάρτα του θύματος για σύντομο χρονικό διάστημα για να κάνει μια πληρωμή. Αυτού του είδους το "skimming" έχει αποδειχθεί εδώ και καιρό εφικτό, ακόμα κι αν στηρίζεται στο ότι ο ιδιοκτήτης της κάρτας έχει πιαστεί "στον ύπνο".

    Ο εκπρόσωπος της Visa ισχυρίστηκε επίσης ότι το συνολικό ποσοστό απάτης με Visa παγκοσμίως μειώθηκε κατά 33% μεταξύ 2017 και 2018 και στην Ευρώπη κατά 40%. Ωστόσο, τα στοιχεία από τη UK Finance δείχνουν ότι οι απάτες με ανέπαφες συναλλαγές προκάλεσαν απώλειες 19,5 εκατ. λιρών το 2018, από 14 εκατ. το 2017. Η UK Finance, ωστόσο, σημείωσε ότι αυτό ήταν "χαμηλό" υπό το πρίσμα των συνολικών δαπανών 69 δισ. λιρών για το ίδιο έτος. Και η UK Finance, αλλά και η Visa, αρνήθηκαν ότι είχαν ποτέ καταγράψει υπόθεση απάτης ανέπαφης συναλλαγής στην οποία η κάρτα δεν είχε κλαπεί.

    Πώς λειτουργεί το ασύρματο hack

    Για να πραγματοποιήσουν το hack τους, οι ερευνητές χρησιμοποίησαν ένα εξειδικευμένο κομμάτι υλικού για να παρεμποδίσουν και να εισάγουν μηνύματα στις επικοινωνίες μεταξύ της κάρτας και του μηχανήματος ανάγνωσης. Για παράδειγμα, θα μπορούσαν να ενημερώσουν την κάρτα ότι δεν χρειάστηκε κωδικός επαλήθευσης, παρόλο που το ζητούμενο ποσό ήταν μεγαλύτερο από 30 λίρες. Στη συνέχεια, δήλωσαν στο τερματικό ότι η επαλήθευση έχει ήδη γίνει με άλλο τρόπο. 

    Οι ερευνητές δήλωσαν ότι οι έλεγχοι αυτοί δεν είχαν γίνει υποχρεωτικοί από τη Visa, όπως είχαν πράξει οι ανταγωνιστές της. Και καθώς οι τράπεζες ακολουθούν τις κατευθυντήριες γραμμές της Visa, θα μπορούσε να κάνει περισσότερα για να αντιμετωπίσει το ζήτημα, δήλωσε η Galloway. Αν και η Visa είπε ότι οι εκδότες των καρτών είναι τελικά υπεύθυνοι για την επικύρωση των συναλλαγών.

    Για την επίθεση με τη χρήση δύο κινητών τηλεφώνων, η Galloway εξήγησε ότι ήταν δυνατό να χρησιμοποιήσει ένα smartphone για να χτυπήσει μια κάρτα και να την "κλωνοποιήσει" αποτελεσματικά για σύντομο χρονικό διάστημα. Αυτό το πρώτο κινητό λαμβάνει το "κρυπτογράφημα πληρωμής" από την κάρτα. Πρόκειται ουσιαστικά για υπογραφή που υποτίθεται ότι εγγυάται τη γνησιότητα των μελλοντικών πληρωμών. Το κρυπτογράφημα αποστέλλεται στο δεύτερο τηλέφωνο, το οποίο προσομοιώνει την κάρτα σαν να έκανε μια πληρωμή μέσω κινητού τηλεφώνου. Οι χάκερ μπορούν στη συνέχεια να υπερβούν το όριο κάνοντας την ίδια κίνηση με πριν.

    Ο Stephen Ridgway, συνιδρυτής και επικεφαλής της τεχνολογίας στη startup κυβερνοασφάλειας th4ts3cur1ty.company, δήλωσε ότι η αντιμετώπιση τέτοιων επιθέσεων σε τεχνικό επίπεδο θα μπορούσε να είναι προβληματική. "Μπορεί να μην υπάρχει" γρήγορη λύση "για αυτό, ακόμη και αν οι πάροχοι πληρωμών απαιτούν έλεγχο ταυτότητας για πληρωμές άνω των 30 λιρών, αν η κάρτα και ο αναγνώστης είναι επιρρεπείς σε μια επίθεση "μεσάζοντα" που ξεγελά το σύστημα ώστε να πιστέψει ότι ο έλεγχος ταυτότητας έχει ήδη πραγματοποιηθεί", είπε. 

    Όσον αφορά στο τι μπορούν να κάνουν οι κάτοχοι καρτών για να προστατευθούν, η διατήρηση των καρτών σε φυσική ασφάλεια είναι ζωτικής σημασίας. Για όσους ανησυχούν ότι κάποιος μπορεί να υποκλέψει την κάρτα τους ενώ αυτή βρίσκεται στο πορτοφόλι τους, υπάρχουν καλύμματα που μπορούν να αποτρέψουν κάτι τέτοιο. Ο Ridgway είπε ότι μια άλλη φθηνή λύση ήταν να χρησιμοποιήσουν ένα κάλυμμα τηλεφώνου, καθώς συχνά παρέχουν την ίδια προστασία. Επίσης η παρακολούθηση των συναλλαγών μπορεί να βοηθήσει τους καταναλωτές να ανιχνεύσουν δόλιες συναλλαγές πριν τις τράπεζες.

    Η βελτίωση της ασφάλειας των τραπεζών και η νέα νομοθεσία αναμένεται επίσης να βελτιώσουν την κατάσταση. Ο Ridgway είπε ότι αν η παράκαμψη του ορίου των ανέπαφων συναλλαγών γίνει σύνηθες φαινόμενο, είναι πολύ πιθανό οι πάροχοι πληρωμών να μάθουν γρήγορα να το αναγνωρίζουν και να προστατεύονται. Και οι επερχόμενοι νέοι κανόνες της ΕΕ θα μπορούσαν επίσης να αποδειχθούν ωφέλιμοι. Από τον Σεπτέμβριο του 2019, οι τράπεζες θα πρέπει να εξασφαλίσουν ότι το PIN θα είναι απαραίτητο όταν οι συνολικές πληρωμές χωρίς επαφή υπερβούν την αξία των 130 λιρών ή όταν έχουν πραγματοποιηθεί πέντε ανέπαφες συναλλαγές μέσα σε μια ημέρα.

    ΣΑΣ ΑΡΕΣΕ ΤΟ ΑΡΘΡΟ;

    Forbes 100+ The Greek List

    ΣΧΕΤΙΚΑ ΑΡΘΡΑ

    16:48 28/05

    Ο δισεκατομμυριούχος Bill Ackman "εγκατέλειψε" τη Berkshire Hathaway του Buffett

    Ο δισεκατομμυριούχος Bill Ackman του hedge fund Pershing Square Capital Management έχει εγκαταλείψει τη θέση της εταιρείας του, αξίας περίπου 1 δισ. δολαρίων, στη Berkshire Hathaway, αναζητώντας...

    00:02 28/05

    Οι "εθισμένοι στο χρέος" γίγαντες των ΗΠΑ που φορτώθηκαν 2,5 τρισ. και από blue chips έγιναν... "σκουπίδια"

    Την εποχή των "παχέων αγελάδων", πριν από την πανδημία του κορονοϊού, η Fed ενθάρρυνε τους κολοσσούς του S&P 500, όπως η Boeing και η AT&T, να δανείζονται αφειδώς. Μέσα σε μια 10ετία λοιπόν...

    11:00 27/05

    Οι 10 ασφαλέστερες παραλίες στην Ευρώπη για... social distancing - Στην κορυφή τους μία ελληνική

    Είναι το μεγαλύτερο ερώτημα εν όψει καλοκαιριού τόσο εντός, όσο και εκτός Ευρώπης: να ταξιδέψει κανείς ή να μην ταξιδέψει; Ακολουθούν ορισμένα στοιχεία τα οποία πιθανόν να βοηθήσουν όσους...

    08:14 27/05

    Κινέζα ιολόγος προειδοποιεί ότι ο κορονοϊός είναι "απλώς η κορυφή του παγόβουνου"

    Εάν δεν μελετήσουμε τους άγνωστους ιούς από τη φύση, θα βιώσουμε και άλλη επιδημία.

    16:02 26/05

    Ο Μασκ εκφράζει τη συμπαράστασή του μετά την αποτυχημένη εκτόξευση πυραύλου της Virgin Orbit του Μπράνσον

    Η Virgin Orbit του Sir Richard Branson απέτυχε στις προσπάθειές της να εκτοξεύσει έναν πύραυλο πάνω από τον Ειρηνικό Ωκεανό καθώς κορυφώνεται ο διαστημικός ανταγωνισμός για την αγορά μικρών δορυφόρων.

    07:44 26/05

    Η startup κρυπτονομισμάτων που πληρώνεται για να μην "εξορύσσει" Bitcoin

    Η εταιρεία "εξόρυξης" Bitcoin Layer1 ανακάλυψε πώς να πληρώνεται για να μην κάνει τίποτα.

    10:17 25/05

    Αίτηση πτώχευσης για τη Ηertz μετά την απομάκρυνση 16.000 εργαζομένων και τα $9 εκατ. της CEO

    Mετά από 100 χρόνια λειτουργίας, η Hertz υπέβαλε την πτώχευσή της την Παρασκευή, καθώς επλήγη από την πανδημία του κορονοϊού.

    08:03 25/05

    Σύμβουλος Τραμπ: Η ανεργία μπορεί να παραμείνει σε διψήφιο ποσοστό ως τον Νοέμβριο

    Η κυβέρνηση Τραμπ δείχνει να συμβιβάζεται σιγά σιγά με το γεγονός ότι ο αντίκτυπος του κορονοϊού στην οικονομία θα μπορούσε να είναι παρατεταμένος.

    08:56 24/05

    Ο "πόλεμος" του streaming συνεχίζεται: Πόσα θα επενδύσουν Netflix, Amazon, Disney+ σε νέο περιεχόμενο

    Οι κινήσεις των παικτών της streaming αγοράς προκειμένου να υπερισχύσουν των ανταγωνιστών τους.

    09:41 23/05

    Γιατί είναι πιθανό η Βραζιλία να γίνει το "hot spot" της πανδημίας

    Ο Bolsonaro έχει ταχθεί κατά των μέτρων κοινωνικής αποστασιοποίησης.

    17:45 22/05

    Ο καθηγητής του Χάρβαρντ που έγινε δισεκατομμυριούχος λόγω κορονοϊού

    Ο καθηγητής βιολογίας του Χάρβαρντ Timothy Springer εκτίμησε τις προοπτικές μιας νεοσύστατης βιοτεχνολογικής εταιρείας πριν από μια δεκαετία και προχώρησε σε μια πρώιμη επένδυση, η οποία τον έκανε...

    08:02 22/05

    Κλείνουν 250 καταστήματα της Victoria’s Secret σε ΗΠΑ-Καναδά λόγω κορονοϊού

    Η Victoria's Secret, η οποία διαθέτει 1.091 καταστήματα στις ΗΠΑ και τον Καναδά, θα κλείσει 235 καταστήματα Victoria's Secret και τρία καταστήματα Pink, με τα υπόλοιπα να κλείνουν στον Καναδά.

    08:08 21/05

    Η Παγκόσμια Τράπεζα προειδοποιεί ότι ο κορονοϊός μπορεί να οδηγήσει 60 εκατ. ανθρώπους στην "απόλυτη φτώχεια"

    Επιπλέον, η τράπεζα αναμένει "βαθιά ύφεση", σημειώνοντας ότι η παγκόσμια οικονομία θα υποχωρήσει κατά 5%.

    12:35 20/05

    O CEO της Microsoft μιλάει για τον ρόλο της τεχνολογίας στη νέα πραγματικότητα μετά τον κορονοϊό

    Ο Satya Nadella έχει μία ιδιαίτερα πλεονεκτική θέση για την παρακολούθηση του ρόλου της τεχνολογίας στην μάχη κατά του κορονοϊού, αλλά και στην μετά πανδημίας εποχή.

    07:50 20/05

    Η στρατηγική "Μείνε ψύχραιμος, βγάλε λεφτά" ξεπέρασε την απόδοση του χρηματιστηρίου κατά 30%

    Η σκωτσέζικη Baillie Gifford διαθέτει 112 χρόνια εμπειρίας στα ράλι των αγορών, τους πανικούς και τις πανδημίες.