Цифровые кошельки позволили делать покупки по вашим аннулированным картам

IT-специалисты сообщили, как защититься от злоумышленников в Apple и Google.

Исследователи в области информационной безопасности обнаружили, что цифровые кошельки Apple Pay, Google Pay и PayPal могут использоваться злоумышленниками для проведения транзакций с использованием украденных и аннулированных платежных карт.

Недостатки цифровых кошельков позволяют преступникам добавить номер украденной карты в кошелек и совершать покупки, даже если карта впоследствии будет аннулирована и заменена.

Об этом сообщила группа специалистов по информационной безопасности — Раджа Хаснаин Анвар (UMass Amherst), Сайед Рафиул Хуссейн (Penn State) и Мухаммад Таки Раза (UMass Amherst) — в докладе на конференции Usenix Security 2024.

«Вероятный сценарий атаки выглядит следующим образом: злоумышленник крадет у человека кредитную карту. Используя имя владельца карты (которое напечатано на карте), преступник определяет адрес жертвы с помощью онлайн-баз данных. Если владелец карты заблокирует ее, то это не окажет никакого влияния на кошелек злоумышленника, который по-прежнему будет иметь доступ к карте для совершения транзакций», – говорится в докладе IT-специалистов.

Выбор схемы аутентификации основан на знаниях базы KBA вместо более безопасной схемы многофакторной аутентификации MFA — например, одноразового пароля, отправленного по SMS, электронной почте или по телефону. Банки часто разрешают это, потому что так удобнее.

Мошенник звонит на автоматизированную линию поддержки банка, чтобы добавить карту в кошелек. Линия поддержки предлагает злоумышленнику предоставить информацию, связанную с KBA: дату рождения и последние четыре цифры SSN [номера социального страхования], связанного с картой жертвы.

Некоторые схемы KBA не требуют двух точек данных. Это может быть просто одно из нескольких возможных значений: почтовый индекс выставления счета или адрес выставления счета.

Авторы исследования утверждают, что такая информация часто доступна в Интернете благодаря службам поиска людей, публичным записям и «свалкам» данных.

«Например, мы успешно приобрели подарочную карту Apple на $25 и AirPods на $179 с помощью заблокированной кредитной карты. Банки разрешают повторяющиеся платежи по заблокированным картам, чтобы выполнить договор между пользователем и продавцом, чтобы подписные услуги продолжались и не возникали отрицательные кредитные события за пропущенные платежи по подписке. Но эта особая обработка повторяющихся платежей может быть использована хакерами», – предупредил исследователь Раджа Хаснаин Анвар.

На данный момент Google заверил, что работает с банками над устранением выявленных проблем в Google Pay. Ответов от AMEX, BoA [Bank of America], US Bank, Apple и PayPal специалисты пока не получили.

Они рекомендовали несколько мер по смягчению последствий: внедрение push-уведомлений (банковское приложение, Duo Mobile, Microsoft Authenticator) или кодов доступа (Google Authenticator) вместо традиционных одноразовых паролей; использование непрерывной аутентификации при управлении токенами; и проверка банками повторяющихся транзакций, чтобы убедиться, что они правильно помечены.

вопрос 1 из 10

Ты только что получил баг-репорт от тестировщика. Твои действия?

А) Начну гуглить ошибку и читать Stack Overflow. Надеюсь, кто-то уже с этим сталкивался!

Б) Попробую сначала сам, но, если что, спрошу у коллег.

В) Исправлю баг, но сначала напишу тестировщику, что это фича, а не баг.

Далее

вопрос 1 из 10

Как ты относишься к комментированию кода?

А) Комментарии? А разве это не для слабоумных? Я и сам-то еле понимаю, что написал.

Б) Комментирую иногда, но чаще надеюсь, что мне повезёт и всё будет понятно без этого.

В) Мой код понятен даже без комментариев. Но иногда пишу комментарии для джунов, пусть учатся.

Далее

вопрос 1 из 10

У тебя сломался билд прямо перед дедлайном. Что ты сделаешь?

А) Паника!!! Быстро в гугл, может, кто-то уже нашел решение.

Б) Подожду, пока коллега поможет. Не хочется случайно всё сломать.

В) Я просто перезапущу билд и помедитирую. Если не починится, всё равно скажу, что это сервер виноват.

Далее

вопрос 1 из 10

Как ты выбираешь инструменты для разработки?

А) Беру первое, что предлагают на курсах. Главное, чтобы не тупить сильно.

Б) Пробую несколько вариантов, потом решаю, что лучше подходит.

В) Только самые последние и лучшие инструменты — я же профи, у меня всегда должно быть всё на уровне.

Далее

вопрос 1 из 10

Что ты чувствуешь, когда видишь Legacy-код?

А) Страх и боль. Лучше бы этого вообще не было в моем поле зрения.

Б) Вздохну тяжело, но начну разбираться, хоть и с опаской.

В) «Это я видел в 2005, справлюсь!» — и иду чинить без паники.

Далее

вопрос 1 из 10

Как ты относишься к ревью кода?

А) Мне кажется, что меня сейчас засмеют. Лучше бы вообще не трогали.

Б) Иногда прислушиваюсь, иногда делаю по-своему. Но в целом норм.

В) Я делаю ревью и иногда говорю: «Ну, это же джун написал, понятно.»

Далее

вопрос 1 из 10

Коллега попросил тебя объяснить какую-то сложную тему. Как ты поступишь?

А) Брошу ему ссылку на YouTube — пусть сам разбирается.

Б) Объясню своими словами, но, если сам не уверен, подгляжу в гугл.

В) Проведу мини-лекцию с презентацией и примерами, ведь я тут гуру!

Далее