Сотрудники украинской радиостанции Business FM обнаружили серьезную уязвимость в системе оплаты покупок банковской карточкой. Всего одна кнопка на кассовом терминале делает абсолютно бессмысленной авторизацию владельца пластика.
Сотрудник Business FM обнаружил возможность оплаты покупки в кассовом терминале без PIN-кода и подписи на чеке. Он вводил PIN-код карты, неверно набрал цифру и случайно вместо желтой кнопки “Коррекция” нажал красную “Отмена”. Сразу после этого произошла транзакция на сумму покупки.
““Для меня стало открытием, что по карте, эмитированной банком ВТБ24, можно оплатить покупку, не вводя PIN-код. Причем это случилось один раз на заправке, потом я это проверил в кафе и еще в каком-то продуктовом магазине. Многократно проверял эту функцию, она работает во всех терминалах, терминалы эти принадлежат разным банкам”, — рассказал Андрей Иванов.”
Далее сотрудники Business FM решили продолжить эксперимент и попробовали оплачивать покупки в магазинах картами других банков. И каждый раз, когда необходимо было ввести PIN-код, нажимали красную кнопку. Оплата проходила без каких-либо проблем. На “горячей линии” ВТБ24 оператор объяснил, что возможность оплаты покупки без PIN-кода зависит не от карты, а от кассового терминала.
Дальнейшее расследование показало, что проблема кроется не только на стороне банка. Есть строгая инструкция по авторизации владельца карты. По правилам, если человек решил расплатиться пластиком, оператор обязан потребовать у него паспорт, сравнить подпись с подписью на карте, а далее попросить ввести PIN-код или расписаться на чеке и сравнить эту подпись с теми, что стоят на документе и пластике. Процедура сложная, и так никто не делает, просто просят ввести PIN или расписаться. Но и от этой процедуры можно отказаться, рассказал замруководителя криминалистической лаборатории компании Group-IB Сергей Никитин.
Таким образом, в случае утери или кражи банковской карты, злоумышленники не смогут снять деньги в банкомате или приобрести товар в интернет-магазине. Однако совершить покупки на кругленькую сумму в магазине они, как оказалось, смогут. И защиты от этой серьезной уязвимости нет?
Источник
