Истина где-то ниже
Ноябрь 2, 2018

Большинство мобильных POS-терминалов уязвимы для кибератак

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Компания Positive Technologies проанализировала работу представленных на рынке США и Европы мобильных POS-терминалов и выявила в них уязвимости, угрожающие безопасности финансовых транзакций. Специалисты выяснили, что пять из семи протестированных устройств чувствительны к атакам типа «человек посередине», а некоторые допускают подмену выводимых на экран команд или компрометацию ОС и кражу PIN.

В сферу внимания исследователей попали мобильные устройства для приема платежей, разработанные компаниями Square, Miura Systems и DATECS, которые продаются как под оригинальными брендами, так и под марками SumUp, IZettle и PayPal. Как отметили эксперты, аппаратная часть большинства POS-терминалов имеет надежную защиту от взлома, однако процесс коммуникации с процессинговым центром в ряде случаев уязвим для кибератак. Аналитики отметили, что все бреши связаны с оплатой через магнитную полосу.

По результатам исследования выяснилось, что два устройства допускают вывод на экран сообщений по команде злоумышленника. Киберпреступник способен подключиться к целевому терминалу по Bluetooth-каналу в режиме разработчика и получить сведения, которые позволят ему воздействовать на работу устройства.

Обладая такой информацией, мошенник сможет отправлять на дисплей прибора служебные уведомления и манипулировать действиями пользователя. Например, передав фальшивое сообщение «Операция отклонена», можно подтолкнуть покупателя применить для проведения платежа считыватель магнитной ленты карты вместо более безопасной EMV-транзакции или выполнить перевод денег повторно.

Еще одна брешь связана с возможностью перехвата и декодирования HTTPS трафика. Исследователи утверждают, что злоумышленник способен вносить изменения в пакеты данных, которыми устройство обменивается с процессинговым центром, и передать для утверждения транзакции сумму, отличную от той, которую одобрил покупатель. Таким образом недобросовестный продавец может списать больше средств и получить дополнительную прибыль.

Эксперты Positive Technologies обнаружили, что два мобильных POS-терминала уязвимы к взлому операционной системы и допускают выполнение стороннего кода. В результате злоумышленники могут получить доступ к данным Track 2, содержащим информацию о параметрах платежа, номере карты и сроке ее действия. По словам экспертов, с помощью командной строки мошенники способны включить режим отображения вводимых через клавиатуру данных в текстовом виде и узнать PIN-код жертвы.

Все бреши, выявленные ИБ-специалистами, влияют лишь на операции, проведенные через карты с магнитной полосой, которые почти не используются в Европе, однако все еще популярны в США. По мнению исследователей, несмотря на усилия, предпринимаемые эмитентами и торговыми сетями, на долю EMV-транзакций в стране приходится лишь 23% платежей по дебетовым и 41% по кредитным картам.

Источник: https://threatpost.ru/pos-are-vulnerable-for-cyberattacks/28976/