Специалисты по информационной безопасности из Массачусетского университета и Государственного университета Пенсильвании сообщили о выявлении критических уязвимостей в популярных цифровых кошельках Apple Pay, Google Pay и PayPal. Результаты исследования, представленные на прошедшей недавно конференции Usenix Security 2024, демонстрируют, что киберпреступник имеет возможность добавить в свои цифровые кошельки номера скомпрометированных кредитных карт и совершать с их помощью покупки даже в том случае, если владелец заблокировал карточку.

Раджи Хаснайн Анвар, один из авторов исследования и докторант кафедры электротехники и информатики UMass Amherst, рассказал во время своего выступления на конференции, что основная проблема в этом случае —уязвимости в системах аутентификации приложений для цифровых кошельков и американских банков.

В рассматриваемом случае, как рассказывают эксперты, сценарий проведения кибератаки со стороны хакеров выглядит следующим образом: на первом этапе злоумышленники крадут данные кредитной карточки пользователя. Зная имя владельца, на которое она оформлена, хакеры определяют адрес проживания жертвы, воспользовавшись доступными в интернете онлайн-сервисами. Затем они стараются добавить украденную карточку в разные цифровые кошельки. Ввиду того, что все кошельки применяют различные способы аутентификации, киберпреступники выбирают тот, где для подтверждения необходимо указать адрес проживания или же почтовый индекс.

После этого хакер может без труда пользоваться кредитной картой даже в том случае, если владелец узнает о её компрометации и банковский продукт заблокирует. Сложность заключается в том, что финансовые учреждения не выполняют проверку, действительно ли цифровой кошелёк, к которому привязывается карта, принадлежит владельцу банковской карточки, в процессе обновления токена авторизации. Вместо этого происходит автоматический перенос токена на новую банковскую карточку, выпущенную взамен утраченной.

Помимо этого, американские банки также предоставляют возможность проводить повторяющиеся транзакции даже в том случае, если карточка заблокирована. Этот момент также применяется злоумышленниками при проведении атак.

Например, хакеры могут зарегистрироваться на различных сайтах, где продаются всевозможные товары и услуги, выбрать скомпрометированную банковскую карточку в качестве основного способа оплаты. После чего с её помощью забронировать и оплатить покупку. И несмотря на тот факт, что кредитная карта уже является неактивной, банк всё равно подтвердит оплату, потому как она будет маркироваться как «повторяющаяся».


Ещё по теме: