Maksut Afrika
Paljon on tullut Black Hat USA 2018 -konferenssista Las Vegasissa viime päivinä. Yksi kriittisesti huomiota vaativa tällainen löytö on Positive Technologiesin tutkijoiden Leigh-Anne Gallowayn ja Tim Yunusovin uutiset, jotka ovat tulleet valaisemaan yhä edullisempia maksutapahyökkäyksiä.
Kahden tutkijan mukaan hakkerit ovat löytäneet tavan varastaa luottokorttitietoja tai manipuloida tapahtumamääriä varastamaan varoja käyttäjiltä. He ovat onnistuneet kehittämään halpojen mobiilimaksukorttien kortinlukijat näiden taktiikoiden toteuttamiseksi. Kun ihmiset käyttävät yhä enemmän tätä uutta ja yksinkertaista maksutapaa, he käyvät tärkeimpänä kohteena hakkereille, jotka ovat hallinneet varkauksia tämän kanavan kautta.
Kaksi tutkijaa selittivät erityisesti, että näiden maksutapojen lukijoiden tietoturva-aukot voivat antaa jonkun manipuloida maksunäytöissä näytettäviä asiakkaita. Tämä voi sallia hakkerin manipuloida todellista tapahtuman määrää tai antaa koneen näyttää, että maksu epäonnistui ensimmäisellä kerralla, mikä vaatii toisen maksun, joka voidaan varastaa. Kaksi tutkijaa tuki näitä väitteitä tutkimalla lukijoiden tietoturva-aukkoja neljälle johtavalle myyntipisteyritykselle Yhdysvalloissa ja Euroopassa: Square, PayPal, SumUp ja iZettle.
Jos kauppias ei kävele tahallaan tällä tavalla, toinen lukijoiden löytämä haavoittuvuus voi sallia etähyökkääjän varastaa myös rahaa. Galloway ja Yunusov huomasivat, että tapa, jolla lukijat käyttivät Bluetoothia pariliitokseen, ei ollut turvallinen menetelmä, koska siihen ei liittynyt yhteysilmoitusta tai salasanan syöttämistä / hakua. Tämä tarkoittaa, että mikä tahansa satunnaisalueella oleva hyökkääjä voi onnistua sieppaamaan laitteen ylläpitämän Bluetooth-yhteyden viestinnän mobiilisovelluksen ja maksupalvelimen kanssa muuttaakseen tapahtuman määrää.
On tärkeää huomata, että nämä kaksi tutkijaa ovat selittäneet, että tämän haavoittuvuuden etäkäyttöä ei ole vielä toteutettu ja että massiivisista haavoittuvuuksista huolimatta hyödyntäminen ei ole vielä yleisesti ottanut vauhtia. Näistä maksutavoista vastaaville yrityksille ilmoitettiin huhtikuussa, ja näyttää siltä, että neljästä yrityksestä Square-yritys on ottanut nopeasti huomioon ja päättänyt lopettaa haavoittuvan Miura M010 Reader -tukensa.
Tutkijat varoittavat käyttäjiä, jotka valitsevat nämä halvat kortit maksua varten, että he eivät välttämättä ole turvallisia vetoja. He suosittelevat, että käyttäjät käyttävät magneettinauhan pyyhkäisyn sijaan siruja ja nastoja, siruja ja allekirjoituksia tai kontaktittomia menetelmiä. Tämän lisäksi tuotteiden myynnin käyttäjien tulisi investoida parempaan ja turvallisempaan tekniikkaan varmistaakseen liiketoimintansa luotettavuuden ja turvallisuuden.
