:

Szerző: Hlács Ferenc

2015. március 16. 15:35

Apple Pay: új fegyver a kártyacsalók kezében

Új eszközzel támadnak a kártyacsalók: az Apple mobilfizetési megoldásával a támadók lopott adatokat megadva már fizikai boltokban is elkölthetik áldozataik pénzét. A művelethez a kártyaadatokra és egy feltört iTunes-fiókra van szükség - amelyeket az online feketekereskedők néhány dollárért árulnak.

Érdekes sebezhetőség ütötte fel a fejét az Apple mobilfizetési megoldásában: a biztonsági hiba nem az Apple Pay felhasználóit fenyegeti - pontosabban nem kizárólag őket, hanem a cég minden online vásárlásra alkalmas bankkártyával rendelkező felhasználóját. Az Apple mobilfizetési szolgáltatása ugyanis lehetővé teszi, hogy a különböző támadások során online begyűjtött bankkártyaadatokkal a támadók fizikai boltokban is vásároljanak, míg korábban erre csak a webes felületeken volt lehetőségük.

Új fronton a bankkártyás visszaélések

A kártyacsalások jellemzően kétféle csoportra oszthatók: az online, illetve a fizikai boltokban eltulajdonított kártyaadatokra. Utóbbira kiváló példa a Target üzletlánc körül kirobbant botrány: a vállalat malware-rel megfertőzött termináljaiból 2013 végén mintegy 40 millió hitel- és bankkártya adatait szerezték meg illetéktelenek.

Az így gyűjtött információkat a támadók később értékesítik, egy-egy kártya adataiért a Krebs on Security szerint 10-30 dollárt kérnek el. Ez az összeg azonban gyorsan visszajön, miután a vevő maga is bevásárol a szerzett adatokkal klónozott plasztikkártyákkal. Az online vásárlásokhoz ugyanakkor már a kártyák elején található számsor, lejárati dátum, a tulajdonos neve, címe és telefonszáma mellett a CVV számra is szükség van (az eszköz hátoldalán található háromjegyű kód). Ezeket általában különböző online csalások és adathalász támadások során gyűjtik be, majd értékesítik, általában a mágnescsík adatainál jóval olcsóbban, kártyánként 1-5 dollárért.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Az így megvett adatokkal való visszaélésre eddig csak az online üzletekben volt lehetőség, azokat az Apple Pay szolgáltatásban megadva azonban már a fizikai boltokban is elkölthető az áldozat pénze. Ehhez a kártyaadatok mellett az iTunes fiók feltörésére is szükség van - a legtöbb bank ugyanis az Apple Pay regisztrációhoz, illetve az adott felhasználó személyazonosságának hitelesítéséhez az Apple által biztosított adatokat használja, azaz az adott készülék nevét, földrajzi pozícióját és a szóban forgó iTunes-fiók tranzakciós listáját.

Minden adat megvásárolható

A visszaélések kockázatát tovább növeli, hogy utóbbi felhasználói fiókok megszerzéséhez sem kell feltétlenül magánakcióba kezdeni, miután feltört profilokból is szép számmal akad eladó, darabja nagyjából 8 dollárért. De még azok a bankok sem kínálnak teljes körű védelmet, amelyek fel is hívják ügyfeleiket a regisztráció során, hiszen a verifikációhoz telefonon bekért adatokat sem nehezebb online megvásárolni, mint a kártyainformációkat és az iTunes profilt.

Kifejezetten ironikus, hogy a kártyacsalások új formáját épp a bankkártyás fizetéshez biztonságosabb alternatívát ígérő Apple Pay-en keresztül sikerült megvalósítani - az pedig még inkább, hogy a Droplabs elemzése szerint a hasonló módon megszerzett kártyákkal a csalók sok esetben éppen Apple termékeket vásárolnak. Ez persze abban a tekintetben nem meglepő, hogy ha a támadó később készpénzért továbbadható, nagy értékű terméket akar vásárolni, logikus lépés az Apple boltjait választania. Az Egyesült Államokban továbbá egyelőre elenyésző az érintés nélküli fizetést támogató és még kevesebb az Apple Pay-t elfogadó kereskedők száma, a vállalat üzleteiben azonban egész biztosan van lehetőség a mobilos fizetésre.

Hasonló kockázatokkal a hamarosan startoló, rivális Samsung Paynek is szembe kell majd néznie, amennyiben szolgáltatás - illetve az abba társuló bankok - nem fordtítanak megfelelő figyelmet a felhasználók azonosítására, a probléma gyorsan jóval komolyabbra fordulhat, már csak a potenciális elfogadóhelyek számának megugrása miatt is.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról