Найден способ бесконтактно тратить деньги с карт Visa без ввода PIN-кода

Учёные говорят, что атаку можно провести незаметно. Мошенник может якобы расплачиваться за товар с помощью смартфона, но на самом деле оплата будет совершаться по украденной бесконтактной карте Visa, спрятанной на теле злоумышленника.

Уязвимость связана с недочётами в дизайне стандарта EMV и протоколе бесконтактных платежей Visa. Для атаки преступнику нужны два Android-смартфона, специальное мобильное приложение и бесконтактная карта. На одном телефоне приложение выполняет роль эмулятора карты, а на втором — PoS-терминала. Последний смартфон должен находиться вблизи карты. Вторым оплачивают покупку.

Эмулятор PoS-терминала запрашивает карту совершить платёж, затем модифицирует данные транзакции и передаёт информацию по Wi-Fi другому смартфону. С него совершается оплата без PIN-кода.

Учёные уже проверили метод на смартфонах Huawei и Google Pixel в реальных магазинах.