Новая уязвимость в платежных терминалах, позволяющая преступникам похищать PIN-код и информацию магнитных полос кредитных и дебетовых карт, была обнаружена немецкими специалистами по информационной безопасности Карстеном Нолем и Фабианом Браунлейном.
Проверку экспертов прошли платежные терминалы пяти крупных операторов платежных систем.
В ходе своего выступления на Всемирном конгрессе хакеров Браунлейн и Ноль намереваются показать несколько примеров атак с использованием ошибок в платежных протоколах Poseidon и ZVT, применяемых в терминалах. Как утверждает Ноль, протокол ZVT задействован в 90% устройств, таким образом подавляющее большинство терминалов затронуто уязвимостью.
Используя ошибки в протоколе ZVT, злоумышленник может украсть PIN-код кредитной карты жертвы, а также всю информацию, которая содержится на магнитной ленте. Как выяснилось, в любом из предоставленных операторами платежном терминале для подписи сообщений используется один и тот же ключ.
В рамках проведения кибератаки злоумышленником осуществляется отправка на терминал якобы легитимного сообщения с просьбой ввести PIN-код. Атакующий отправляет вредоносные команды только после того, как жертва начала транзакцию. В итоге в распоряжение хакера попадает PIN-код и данные магнитной полосы кредитной карты.
По словам Ноля, прежде мошенниками использовались уязвимости в программном обеспечении, для устранения которых необходимо было просто установить обновление. Эксперты взломали сам протокол, вследствие чего устройство продолжает функционировать в нормальном режиме, однако в то же время остается уязвимым. Данная проблема не может быть решена с помощью патча, поскольку необходимо перенастроить всю систему.