Цифровые кошельки позволили делать покупки по вашим аннулированным картам

IT-специалисты сообщили, как защититься от злоумышленников в Apple и Google.

Исследователи в области информационной безопасности обнаружили, что цифровые кошельки Apple Pay, Google Pay и PayPal могут использоваться злоумышленниками для проведения транзакций с использованием украденных и аннулированных платежных карт.

Недостатки цифровых кошельков позволяют преступникам добавить номер украденной карты в кошелек и совершать покупки, даже если карта впоследствии будет аннулирована и заменена.

Об этом сообщила группа специалистов по информационной безопасности — Раджа Хаснаин Анвар (UMass Amherst), Сайед Рафиул Хуссейн (Penn State) и Мухаммад Таки Раза (UMass Amherst) — в докладе на конференции Usenix Security 2024.

«Вероятный сценарий атаки выглядит следующим образом: злоумышленник крадет у человека кредитную карту. Используя имя владельца карты (которое напечатано на карте), преступник определяет адрес жертвы с помощью онлайн-баз данных. Если владелец карты заблокирует ее, то это не окажет никакого влияния на кошелек злоумышленника, который по-прежнему будет иметь доступ к карте для совершения транзакций», – говорится в докладе IT-специалистов.

Выбор схемы аутентификации основан на знаниях базы KBA вместо более безопасной схемы многофакторной аутентификации MFA — например, одноразового пароля, отправленного по SMS, электронной почте или по телефону. Банки часто разрешают это, потому что так удобнее.

Мошенник звонит на автоматизированную линию поддержки банка, чтобы добавить карту в кошелек. Линия поддержки предлагает злоумышленнику предоставить информацию, связанную с KBA: дату рождения и последние четыре цифры SSN [номера социального страхования], связанного с картой жертвы.

Некоторые схемы KBA не требуют двух точек данных. Это может быть просто одно из нескольких возможных значений: почтовый индекс выставления счета или адрес выставления счета.

Авторы исследования утверждают, что такая информация часто доступна в Интернете благодаря службам поиска людей, публичным записям и «свалкам» данных.

«Например, мы успешно приобрели подарочную карту Apple на $25 и AirPods на $179 с помощью заблокированной кредитной карты. Банки разрешают повторяющиеся платежи по заблокированным картам, чтобы выполнить договор между пользователем и продавцом, чтобы подписные услуги продолжались и не возникали отрицательные кредитные события за пропущенные платежи по подписке. Но эта особая обработка повторяющихся платежей может быть использована хакерами», – предупредил исследователь Раджа Хаснаин Анвар.

На данный момент Google заверил, что работает с банками над устранением выявленных проблем в Google Pay. Ответов от AMEX, BoA [Bank of America], US Bank, Apple и PayPal специалисты пока не получили.

Они рекомендовали несколько мер по смягчению последствий: внедрение push-уведомлений (банковское приложение, Duo Mobile, Microsoft Authenticator) или кодов доступа (Google Authenticator) вместо традиционных одноразовых паролей; использование непрерывной аутентификации при управлении токенами; и проверка банками повторяющихся транзакций, чтобы убедиться, что они правильно помечены.

вопрос 1 из 10

С утра ты пришел на работу и первым делом...

А) Проверяю состояние проекта. Может, за ночь сам собой сломался?

Б) Варю кофе, иначе мозги не включаются. Проект подождёт.

В) Втыкаю в мемы в чате. Если всё сломалось, об этом мне и так скажут.

Далее

вопрос 1 из 10

Билд не собирается, а дедлайн уже завтра. Твои действия?

А) Начинаю методично исправлять ошибки, не паникую (ну, почти).

Б) Беру чашку кофе и думаю: « Может, само как-то решится?»

В) Делаю вид, что занят, и жду, пока кто-то другой починит. Стану героем позже!

Далее

вопрос 1 из 10

Кофе-машина внезапно отказала в самый разгар рабочего дня. Что ты сделаешь?

А) Печально вздохну и пойду на ближайшую заправку за спасительным кофеином.

Б) Попробую починить её — инженерный подход ко всему!

В) Пью воду… хотя какой тут проект без кофе? Прощай, производительность.

Далее

вопрос 1 из 10

Ты на грани нервного срыва, а проект не готов. Что подведёт тебя первым?

А) Я! Я первый сломаюсь. Проект уже не так важен, как мои нервы.

Б) Проект, конечно. Ему по традиции суждено крашнуться перед дедлайном.

В) Кофе-машина. Если она не заработает — конец всему.

Далее

вопрос 1 из 10

Как ты справляешься с багами, которые появляются прямо перед релизом?

А) Быстро нахожу решение — я ведь профи! Хотя кофе лишним не будет.

Б) Пью кофе, смотрю на баг и думаю, что сделать с ним завтра.

В) Перекладываю задачу на кого-то другого и иду варить ещё одну чашечку.

Далее

вопрос 1 из 10

Представь, что проект внезапно упал. Что ты будешь делать?

А) Паниковать! Потом быстро всё чинить. Может, даже без кофе.

Б) Первым делом — кофе, потом решать проблему. Спокойствие важнее.

В) О, проект упал? Я его не трогал. Это точно не моя проблема.

Далее

вопрос 1 из 10

Как ты ведёшь себя в день релиза?

А) Проверяю всё по сто раз, даже кофе не пью — только вода и фокус.

Б) Сначала пью кофе, потом снова кофе. Должен быть в форме.

В) Жду момента, когда что-то сломается, и готовлюсь сказать: «Ну, я же предупреждал!»

Далее