Πληρωμές Αφρική
Πολλά έχουν βγει από το συνέδριο Black Hat USA 2018 στο Λας Βέγκας αυτές τις τελευταίες ημέρες. Μια κρίσιμη προσοχή που απαιτεί τέτοια ανακάλυψη είναι τα νέα που προέρχονται από τους ερευνητές της Positive Technologies, Leigh-Anne Galloway και Tim Yunusov, οι οποίοι έχουν εμφανιστεί για να ρίξουν φως στις αυξανόμενες επιθέσεις με μεθόδους πληρωμής χαμηλότερου κόστους.
Σύμφωνα με τους δύο ερευνητές, οι χάκερ έχουν βρει έναν τρόπο να κλέψουν πληροφορίες πιστωτικής κάρτας ή να χειραγωγήσουν τα ποσά συναλλαγών για να κλέψουν χρήματα από τους χρήστες. Κατάφεραν να αναπτύξουν αναγνώστες καρτών για φθηνές κάρτες πληρωμής για κινητά για να πραγματοποιήσουν αυτές τις τακτικές. Καθώς οι χρήστες υιοθετούν ολοένα και περισσότερο αυτόν τον νέο και απλό τρόπο πληρωμής, μπαίνουν ως πρωταρχικοί στόχοι για χάκερ που έχουν κατακτήσει την κλοπή μέσω αυτού του καναλιού.
Οι δύο ερευνητές εξήγησαν ιδιαίτερα ότι τα τρωτά σημεία ασφαλείας στους αναγνώστες αυτών των μεθόδων πληρωμής θα μπορούσαν να επιτρέψουν σε κάποιον να χειριστεί τι εμφανίζονται οι πελάτες στις οθόνες πληρωμής. Αυτό θα μπορούσε να επιτρέψει σε έναν χάκερ να χειριστεί το πραγματικό ποσό συναλλαγής ή να επιτρέψει στον υπολογιστή να δείξει ότι η πληρωμή ήταν ανεπιτυχής την πρώτη φορά, προκαλώντας μια δεύτερη πληρωμή που θα μπορούσε να κλαπεί. Οι δύο ερευνητές υποστήριξαν αυτούς τους ισχυρισμούς μελετώντας τα ελαττώματα ασφάλειας στους αναγνώστες για τέσσερις κορυφαίες εταιρείες σημείου πώλησης στις Ηνωμένες Πολιτείες και την Ευρώπη: Square, PayPal, SumUp και iZettle.
Εάν ένας έμπορος δεν περπατάει με κακόβουλη πρόθεση με αυτόν τον τρόπο, μια άλλη ευπάθεια που βρέθηκε στους αναγνώστες θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο εισβολέα να κλέψει επίσης χρήματα. Ο Galloway και ο Yunusov ανακάλυψαν ότι ο τρόπος με τον οποίο οι αναγνώστες χρησιμοποίησαν Bluetooth για σύζευξη δεν ήταν ασφαλής μέθοδος καθώς δεν υπήρχε σχετική ειδοποίηση σύνδεσης ή καταχώριση / ανάκτηση κωδικού πρόσβασης. Αυτό σημαίνει ότι οποιοσδήποτε τυχαίος εισβολέας στο εύρος μπορεί να καταλάβει την επικοινωνία της σύνδεσης Bluetooth που διατηρεί η συσκευή με μια εφαρμογή για κινητά και τον διακομιστή πληρωμών για να αλλάξει το ποσό της συναλλαγής.
Είναι σημαντικό να σημειωθεί ότι οι δύο ερευνητές εξήγησαν ότι οι απομακρυσμένες εκμεταλλεύσεις αυτής της ευπάθειας δεν έχουν ακόμη πραγματοποιηθεί και ότι παρά αυτές τις τεράστιες ευπάθειες, τα εκμεταλλεύματα δεν έχουν ακόμη πάρει δυναμική γενικά. Οι εταιρείες που είναι υπεύθυνες για αυτές τις μεθόδους πληρωμής ενημερώθηκαν τον Απρίλιο και φαίνεται ότι από τις τέσσερις, η εταιρεία Square έχει λάβει σύντομα ειδοποίηση και αποφάσισε να διακόψει την υποστήριξη για το ευάλωτο Miura M010 Reader.
Οι ερευνητές προειδοποιούν τους χρήστες που επιλέγουν αυτές τις φθηνές κάρτες για πληρωμή ότι ενδέχεται να μην είναι ασφαλή στοιχήματα. Συμβουλεύουν ότι οι χρήστες χρησιμοποιούν μεθόδους chip and pin, chip και signature, ή contactless αντί για σάρωση μαγνητικής λωρίδας. Εκτός από αυτό, οι χρήστες στο τέλος της πώλησης πρέπει να επενδύσουν σε καλύτερη και ασφαλέστερη τεχνολογία για να διασφαλίσουν την αξιοπιστία και την ασφάλεια της επιχείρησής τους.
