Συνεχης ενημερωση

    Τετάρτη, 31-Ιουλ-2019 08:35

    Αποκλειστικό: Πώς οι χάκερς μπορούν να σας κλέψουν με τις ανέπαφες συναλλαγές της κάρτας Visa

    Αποκλειστικό: Πώς οι χάκερς μπορούν να σας κλέψουν με τις ανέπαφες συναλλαγές της κάρτας Visa
    • Εκτύπωση
    • Αποστολή με email
    • Προσθήκη στη λίστα ανάγνωσης
    • Μεγαλύτερο μέγεθος κειμένου
    • Μικρότερο μέγεθος κειμένου

    Του Thomas Brewster

    Θεωρείτε ότι το όριο των 30 λιρών στις ανέπαφες συναλλαγές με κάρτα μπορεί να σας προστατεύσει από κλοπές; Ξανασκεφτείτε το.

    Ερευνητές ασφάλειας βρήκαν έναν τρόπο να παρακάμψουν αυτό το όριο στις κάρτες Visa. Η παραβίασή τους, η οποία δεν περιορίζεται σε κάρτες του Ηνωμένου Βασιλείου, θα μπορούσε να επιτρέψει σε καιροσκόπους απατεώνες να αδειάσουν λογαριασμούς με μια μόνο κίνηση και ισχυρίζονται ότι δεν χρειάζεται καν να κλέψουν την πιστωτική κάρτα. Και από την πλευρά της Visa, λίγα γίνονται για να αντιμετωπιστεί αυτή η νέα απειλή.

    Το Forbes άφησε τους ερευνητές Leigh-Anne Galloway και Tim Yunusov από την εταιρία κυβερνο-ασφάλειας Positive Technologies να κάνουν δοκιμή σε μια προσωπική κάρτα Visa. Κατάφεραν να αποσπάσουν τρεις επιτυχείς πληρωμές ύψους 31 λιρών. Στις δικές τους κάρτες έκαναν ανέπαφες πληρωμές ύψους 101 λιρών, αν και είναι πιθανό να υπάρχει δυνατότητα κλοπής μεγαλύτερου πεσού με ένα μόνο πέρασμα κάρτας.

    Τα χακαρίσματά τους δείχνουν πως η απάτη των ανέπαφων συναλλαγών θα μπορούσε να χειροτερεύσει. Συνήθως, εάν μια τράπεζα δει πολλαπλές ανέπαφες πληρωμές αξίας 30 λιρών, η κάρτα σταματά να λειτουργεί, καθώς τα συστήματα ανίχνευσης απάτης υποψιάζονται ότι είναι στα χέρια κλέφτη. Αν όμως είναι δυνατό να πραγματοποιηθούν μεγάλες συναλλαγές με ένα πέρασμα, αυξάνεται η πιθανότητα για μεγάλες απάτες. 

    Κλέφτες καρτών μπορούν τώρα να κάνουν μεγαλύτερες πληρωμές σε σχέση το παρελθόν. Αλλά τώρα, δεν χρειάζεται καν να κλέψουν την κάρτα. Οι εγκληματίες θα μπορούσαν, για παράδειγμα, να κάνουν μια πληρωμή από μια κάρτα, όταν ο χρήστης δεν προσέχει, με τη δική τους μηχανή πληρωμών μέσω κινητού τηλεφώνου (αν και ένας κακόβουλος έμπορος τελικά θα πιαστεί από τα συστήματα απάτης των τραπεζών, εάν χρησιμοποιεί το ίδιο τερματικό). Ή ακόμα πιο επιδέξια, είναι εφικτό κανείς να υποκλέψει τα στοιχεία πληρωμής από μια πιστωτική κάρτα χρησιμοποιώντας ένα κινητό τηλέφωνο, να στείλει τα δεδομένα σε άλλο τηλέφωνο και να κάνει την πληρωμή αυτή η δεύτερη συσκευή ξεπερνώντας το όριο, ισχυρίστηκαν οι ερευνητές. Για να δουλέψει το χακάρισμα, οι απατεώνες πρέπει να είναι κοντά στο θύμα τους.

    "Αυτό σημαίνει ότι εάν βρίσκατε την κάρτα κάποιου ή κάποιος έκλεβε τη δική σας κάρτα σας, δεν θα χρειαζόταν να γνωρίζει τον κωδικό PIN, δεν θα έπρεπε να πλαστογραφήσει την υπογραφή σας και θα μπορούσε να κάνει μια πληρωμή πολύ υψηλότερης αξίας", δήλωσε η Galloway.

    Θα έπρεπε να υπάρχουν κάποια όρια στο πόσα θα μπορούσε να κλέψει ένας χάκερ. Η Galloway είπε ότι, αν και οι κλέφτες θα μπορούσαν να ξεπεράσουν τις 101 λίρες που δοκίμασαν εκείνοι, κατά εκατοντάδες ή πιθανόν χιλιάδες λίρες, τα συστήματα ανίχνευσης απάτης στις τράπεζες μπορεί να εντοπίζουν τυχόν ασυνήθιστα ​​υψηλές συναλλαγές. "Αυτό που βρήκαμε είναι ότι στην πραγματικότητα, μπορούμε να κάνουμε λογικοφανείς πληρωμές υψηλής αξίας. Έτσι, στο Ηνωμένο Βασίλειο, είμαστε σε θέση να πραγματοποιούμε πληρωμές ύψους 100 λιρών χωρίς καμία ανίχνευση", πρόσθεσε.

    Οι ερευνητές εξακολουθούν να εξετάζουν εάν το χακάρισμα θα λειτουργούσε σε άλλα μέρη του κόσμου, αλλά η Galloway επιβεβαίωσε ότι δεν περιοριζόταν σε μια μόνο χώρα. Το όριο, φυσικά, διαφέρει μεταξύ των κρατών. Για παράδειγμα, στις ΗΠΑ, είναι σημαντικά υψηλότερο από τα 100 δολάρια.

    Δεν υπάρχει καμία λύση;

    Αυτό δεν αλλάζει, όμως, τη διαπίστωση ότι το όριο για τις κάρτες Visa μπορεί να παραβιαστεί. Ωστόσο η Visa δεν σχεδιάζει να ενημερώσει τα συστήματά της για να αντιμετωπίσει την "επίθεση". Ο γίγαντας του χρηματοπιστωτικού κλάδου ισχυρίστηκε ότι μια τέτοια αδράνεια δεν θα ήταν πιθανό να εκδηλωθεί στον πραγματικό κόσμο, καθώς οι εγκληματίες θα χρειαζόταν να έχουν τα χέρια τους την κάρτα και αυτό δεν συμβαίνει συχνά. Ένας εκπρόσωπος της εταιρείας είπε ότι παρά την έρευνα δεν υπήρχε κάποιο πρόβλημα ασφαλείας που έπρεπε να αντιμετωπιστεί.

    "Ένας βασικός περιορισμός αυτού του τύπου επίθεσης είναι ότι απαιτεί μια φυσικά κλεμμένη κάρτα, η κλοπή της οποίας δεν έχει ακόμα αναφερθεί στον εκδότη της κάρτας", δήλωσε ένας εκπρόσωπος της Visa στο Forbes, σημειώνοντας ότι η Visa εργάζεται συνεχώς για τη βελτίωση της τεχνολογίας ανίχνευσης απάτης. "Ομοίως, η συναλλαγή πρέπει να περάσει επικυρώσεις εκδότη και πρωτόκολλα ανίχνευσης. Δεν είναι μια κλιμακούμενη προσέγγιση απάτης που συνήθως βλέπουμε να κάνουν οι εγκληματίες στον πραγματικό κόσμο".

    Η Galloway διαφώνησε στο ότι ο απατεώνας θα χρειαζόταν να κλέψει την κάρτα. Όπως έδειξαν οι δοκιμές, ο χάκερ χρειάζεται μόνο να φτάσει αρκετά κοντά στην κάρτα του θύματος για σύντομο χρονικό διάστημα για να κάνει μια πληρωμή. Αυτού του είδους το "skimming" έχει αποδειχθεί εδώ και καιρό εφικτό, ακόμα κι αν στηρίζεται στο ότι ο ιδιοκτήτης της κάρτας έχει πιαστεί "στον ύπνο".

    Ο εκπρόσωπος της Visa ισχυρίστηκε επίσης ότι το συνολικό ποσοστό απάτης με Visa παγκοσμίως μειώθηκε κατά 33% μεταξύ 2017 και 2018 και στην Ευρώπη κατά 40%. Ωστόσο, τα στοιχεία από τη UK Finance δείχνουν ότι οι απάτες με ανέπαφες συναλλαγές προκάλεσαν απώλειες 19,5 εκατ. λιρών το 2018, από 14 εκατ. το 2017. Η UK Finance, ωστόσο, σημείωσε ότι αυτό ήταν "χαμηλό" υπό το πρίσμα των συνολικών δαπανών 69 δισ. λιρών για το ίδιο έτος. Και η UK Finance, αλλά και η Visa, αρνήθηκαν ότι είχαν ποτέ καταγράψει υπόθεση απάτης ανέπαφης συναλλαγής στην οποία η κάρτα δεν είχε κλαπεί.

    Πώς λειτουργεί το ασύρματο hack

    Για να πραγματοποιήσουν το hack τους, οι ερευνητές χρησιμοποίησαν ένα εξειδικευμένο κομμάτι υλικού για να παρεμποδίσουν και να εισάγουν μηνύματα στις επικοινωνίες μεταξύ της κάρτας και του μηχανήματος ανάγνωσης. Για παράδειγμα, θα μπορούσαν να ενημερώσουν την κάρτα ότι δεν χρειάστηκε κωδικός επαλήθευσης, παρόλο που το ζητούμενο ποσό ήταν μεγαλύτερο από 30 λίρες. Στη συνέχεια, δήλωσαν στο τερματικό ότι η επαλήθευση έχει ήδη γίνει με άλλο τρόπο. 

    Οι ερευνητές δήλωσαν ότι οι έλεγχοι αυτοί δεν είχαν γίνει υποχρεωτικοί από τη Visa, όπως είχαν πράξει οι ανταγωνιστές της. Και καθώς οι τράπεζες ακολουθούν τις κατευθυντήριες γραμμές της Visa, θα μπορούσε να κάνει περισσότερα για να αντιμετωπίσει το ζήτημα, δήλωσε η Galloway. Αν και η Visa είπε ότι οι εκδότες των καρτών είναι τελικά υπεύθυνοι για την επικύρωση των συναλλαγών.

    Για την επίθεση με τη χρήση δύο κινητών τηλεφώνων, η Galloway εξήγησε ότι ήταν δυνατό να χρησιμοποιήσει ένα smartphone για να χτυπήσει μια κάρτα και να την "κλωνοποιήσει" αποτελεσματικά για σύντομο χρονικό διάστημα. Αυτό το πρώτο κινητό λαμβάνει το "κρυπτογράφημα πληρωμής" από την κάρτα. Πρόκειται ουσιαστικά για υπογραφή που υποτίθεται ότι εγγυάται τη γνησιότητα των μελλοντικών πληρωμών. Το κρυπτογράφημα αποστέλλεται στο δεύτερο τηλέφωνο, το οποίο προσομοιώνει την κάρτα σαν να έκανε μια πληρωμή μέσω κινητού τηλεφώνου. Οι χάκερ μπορούν στη συνέχεια να υπερβούν το όριο κάνοντας την ίδια κίνηση με πριν.

    Ο Stephen Ridgway, συνιδρυτής και επικεφαλής της τεχνολογίας στη startup κυβερνοασφάλειας th4ts3cur1ty.company, δήλωσε ότι η αντιμετώπιση τέτοιων επιθέσεων σε τεχνικό επίπεδο θα μπορούσε να είναι προβληματική. "Μπορεί να μην υπάρχει" γρήγορη λύση "για αυτό, ακόμη και αν οι πάροχοι πληρωμών απαιτούν έλεγχο ταυτότητας για πληρωμές άνω των 30 λιρών, αν η κάρτα και ο αναγνώστης είναι επιρρεπείς σε μια επίθεση "μεσάζοντα" που ξεγελά το σύστημα ώστε να πιστέψει ότι ο έλεγχος ταυτότητας έχει ήδη πραγματοποιηθεί", είπε. 

    Όσον αφορά στο τι μπορούν να κάνουν οι κάτοχοι καρτών για να προστατευθούν, η διατήρηση των καρτών σε φυσική ασφάλεια είναι ζωτικής σημασίας. Για όσους ανησυχούν ότι κάποιος μπορεί να υποκλέψει την κάρτα τους ενώ αυτή βρίσκεται στο πορτοφόλι τους, υπάρχουν καλύμματα που μπορούν να αποτρέψουν κάτι τέτοιο. Ο Ridgway είπε ότι μια άλλη φθηνή λύση ήταν να χρησιμοποιήσουν ένα κάλυμμα τηλεφώνου, καθώς συχνά παρέχουν την ίδια προστασία. Επίσης η παρακολούθηση των συναλλαγών μπορεί να βοηθήσει τους καταναλωτές να ανιχνεύσουν δόλιες συναλλαγές πριν τις τράπεζες.

    Η βελτίωση της ασφάλειας των τραπεζών και η νέα νομοθεσία αναμένεται επίσης να βελτιώσουν την κατάσταση. Ο Ridgway είπε ότι αν η παράκαμψη του ορίου των ανέπαφων συναλλαγών γίνει σύνηθες φαινόμενο, είναι πολύ πιθανό οι πάροχοι πληρωμών να μάθουν γρήγορα να το αναγνωρίζουν και να προστατεύονται. Και οι επερχόμενοι νέοι κανόνες της ΕΕ θα μπορούσαν επίσης να αποδειχθούν ωφέλιμοι. Από τον Σεπτέμβριο του 2019, οι τράπεζες θα πρέπει να εξασφαλίσουν ότι το PIN θα είναι απαραίτητο όταν οι συνολικές πληρωμές χωρίς επαφή υπερβούν την αξία των 130 λιρών ή όταν έχουν πραγματοποιηθεί πέντε ανέπαφες συναλλαγές μέσα σε μια ημέρα.

    ΣΑΣ ΑΡΕΣΕ ΤΟ ΑΡΘΡΟ;

    Forbes 100+ The Greek List

    ΣΧΕΤΙΚΑ ΑΡΘΡΑ

    08:14 28/02

    Πόσα κέρδισε ο Jay-Z από την πώληση του 50% της σαμπάνιας του στην LVMH

    Πόσο κερδισμένοι βγήκαν Clooney, Jenner, Rihanna όταν πούλησαν τα μερίδιά τους σε μεγάλες εταιρείες.

    08:13 26/02

    Η ασυνήθιστη "αναζωπύρωση" της GameStop έκανε και πάλι τον συνιδρυτή της Chewy -για λίγο- δισεκατομμυριούχο

    Οι αναλυτές προβληματίζονται από αυτήν την "τρελή" αναστροφή της μετοχής.

    08:10 25/02

    Η "εθιστική" Roblox του David Baszucki που κοντράρει στα ίσα το YouTube στο κοινό της "Γενιάς Ζ"

    Η πλατφόρμα που κάνει θραύση μεταξύ των εφήβων και τους "ανταμείβει" με εκατ. δολάρια.

    07:56 24/02

    Η Tesla έχασε $170 δισ. κεφαλαιοποίηση μετά την επένδυση στο bitcoin

    Οι αναλυτές φοβούνται ότι η απόδοση της μετοχής θα μπορούσε να "μιμείται" την ακραία μεταβλητότητα του bitcoin.

    08:30 23/02

    Ο Αρνό εξαγοράζει το 50% της σαμπάνιας Armand de Brignac του Jay-Z  - Γιατί οι "φυσαλίδες" είναι καλή επένδυση

    Mια κίνηση που φαντάζει εξαιρετική εν όψει των εορτασμών που αναμένονται στη μετά πανδημίας εποχή.

    13:54 22/02

    Citigroup: Η μεγαλύτερη γκάφα στην τραπεζική ιστορία θα της κοστίσει 500 εκατ. δολ.

    Και με δικαστική "βούλα" χάνει τα χρήματα που μεταβίβασε... κατά λάθος σε δανειστές της Revlon.

    12:49 22/02

    Kαθηλωμένα στο έδαφος τα αεροσκάφη Boeing 777 μετά από βλάβη σε κινητήρα κατά της διάρκεια πτήσης

    Η Boeing συνέστησε τις αεροπορικές εταιρείες να κρατήσουν στο έδαφος τα αεροσκάφη τύπου 777 που είναι εξοπλισμένα με έναν συγκεκριμένο τύπο μηχανής μια μέρα μετά την αναγκαστική προσγείωση ενός...

    07:57 22/02

    Η "μαφία της Tesla": Πρώην εργαζόμενοι του Μασκ συναγωνίζονται ποιος θα γίνει ο κύριος αντίπαλός του

    Ο Μασκ δημιούργησε τους δικούς του αντιπάλους, που ήδη αξίζουν δισ. δολάρια.

    08:03 21/02

    Πάτησαν γκάζι το bitcoin και η αγορά κρυπτονομισμάτων

    Η τιμή του bitcoin αυξήθηκε 9% το Σάββατο, φτάνοντας τα 57.350 δολάρια.

    10:10 20/02

    Η Κιμ Καρντάσιαν υπέβαλε αίτηση διαζυγίου από τον Κάνιε Γουέστ - Πόσα χρήματα διακυβεύονται

    Τα περιουσιακά στοιχεία για τα οποία ενδεχομένως να αντιδικήσουν.

    07:47 19/02

    Η Ελλάδα απευθύνει πρόσκληση σε μεγιστάνες με τον νέο νόμο για τα Family Offices

    Προσφέρει φορολογικά κίνητρα για τη δημιουργία εταιρειών ειδικού σκοπού διαχείρισης οικογενειακής περιουσίας με απώτερο στόχο αυτές να συμβάλλουν στην ευημερία του τόπου.

    18:15 18/02

    Η BlackRock, με υπό διαχείριση περιουσιακά στοιχεία $8,7 τρισ., στρέφει το βλέμμα της στο Bitcoin

    Πρόκειται για την τελευταία περίπτωση ενός μεγάλου χρηματοοικονομικού παίκτη που δείχνει ενδιαφέρον στα ψηφιακά νομίσματα.

    12:12 18/02

    M. Burry: Ο ιδιοφυής hedge funder που προκάλεσε το άλμα 4.000% της GameStop, πούλησε πριν το ράλι λόγω Reddit

    Το ράλι της GameStop θα μπορούσε να του αποφέρει έως και 1,5 δισ. δολ., στο αποκορύφωμά του.

    08:42 17/02

    Οι εκατομμυριούχοι του GameStop: Eρασιτέχνες traders που κέρδισαν το πιο τρελό επενδυτικό στοίχημα

    Μέσα σε αυτό το χάος που επέφερε το πανδαιμόνιο γύρω από τη μετοχή της GameStop, ορισμένοι κατάφεραν να γίνουν εκατομμυριούχοι εν ριπή οφθαλμού.

    07:51 16/02

    Πώς θα λύσουμε το πρόβλημα της κλιματικής αλλαγής: Οι δύο αριθμοί που ο Γκέιτς θέλει να μάθουμε

    Ο Γκέιτς έχει σχέδιο για να σώσει τον πλανήτη από την καταστροφική κλιματική αλλαγή. Πού επενδύει ο ίδιος και γιατί;

    07:32 15/02

    Οδεύει το αμερικανικό χρηματιστήριο προς κατάρρευση;

    Οι ομοιότητες των συνθηκών σήμερα με την εποχή της φούσκας των dot-com.