Компания MWR InfoSecurity продемонстрировала две актуальные техники взлома платёжных терминалов с помощью модифицированных пластиковых карт. По словам управляющего директора компании Яна Шоу (на фото) обнаруженные уязвимости раскрывают огромный потенциал для мошенничества по всему миру.

В первом сценарии карта с изменённым чипом используется для имитации подтверждения успешного платежа, в то время как реального списания со счёта пользователя не происходит. Таким образом можно фиктивно оплатить практически любую покупку и продавец заподозрит неладное очень не скоро.

В реализации второй техники атаки на платёжные терминалы использовалось уже две поддельных пластиковых карты. С чипа первой карты в память терминала загружался следящий микрокод, который начинал собирать данные обо всех подлинных кредитных картах, проходящих через это же устройство.

Спустя некоторое время с помощью второй “перечипованной” карты все накопленные POS-терминалом данные считывались, а программа-шпион удалялась из памяти устройства.

Собранные данные можно использовать для клонирования карт со слабой степенью защиты, у которых есть магнитная полоса, но отсутствует чип. Такие карты до сих пор распространены.

MWR InfoSecurity подчёркивает, что обнаруженные уязвимости существовали годами. Ранее проводимые исследования платёжных систем также показывали их низкий уровень надёжности, но за прошедшее время разработчиками не было предпринято никаких мер.

В прошлом месяце на территории Великобритании была арестована организованная группа, похитившая с помощью махинаций с платёжными терминалами и банковскими картами более 725 тысяч фунтов стерлингов. Во время ареста у лидера группировки были изъяты данные о 35 тысячах кредитных карт, с помощью которых общую сумму украденных средств можно было довести до десятков миллионов.