Yeni hücum növü MasterCard ödəniş kartlarının PIN-kodunu ötməyə imkan verir.

  Bu hücum növü sayəsində cinayətkarlar təmassız Mastercard kartını Visa kartı kimi təqdim edərək dələduzluq yolu ilə ödəniş terminallarını həmin kartla əməliyyat aparmağa vadar edir. Kiber təhlükəsizlik tədqiqatçıları yeni hücum növü barədə məlumat yayıb. Bu yolla cinayətkarlar təmassız Mastercard kartını Visa kartı kimi təqdim edərək fırıldaqçılıq yolu ilə  ödəniş terminallarını həmin kartla əməliyyatlar həyata keçirməyə vadar edir. İsveçrə Ali Texniki Məktəbinin (Sürix) alimlər qrupu tərəfindən aparılan tədqiqat başqa tədqiqata əsaslanır. Həmin tədqiqatda qurbanın Visa EMV dəstəkləyən kartının oğurlanaraq pul vəsaitlərinin əldə olunması və alış-veriş üçün istifadə olunmasına imkan verən PIN-kodu ötməklə həyata keçirilən hücum araşdırılır. Visa kartları istifadə olunan əvvəlki hücumda olduğu kimi yeni tədqiqat çərçivəsində ekspertlər geniş yayılan təmassız EMV protokolunda təhlükəli boşluqları istifadə edib. Yalnız bu dəfə hədəf Mastercard kartı oldu.

 Rele hücumu arxitekturası üzərindən “Ortada adam” hücumunu (MitM) həyata keçirən Android-tətbiqi sayəsində yalnız terminal və kart arasında əlaqəyə təşəbbüs göstərmək deyil, kartın brendi və ödəniş şəbəkəsi arasında uyğunsuzluq yaratmaq üçün NFC kommunikasiyalarını ələ keçirmək və onlarla manipulyasiya etmək mümkündür. Başqa sözlə desək, buraxılan kartın brendi Visa və ya Mastercard olduqda, EMV əməliyyatlarının sadələşdirilməsi üçün lazım olan avtorizasiya sorğusu müvafiq ödəniş şəbəkəsinə yönləndirilir. Ödəniş terminalı daimi hesab nömrəsi (PAN) və kartın növünü (məsələn, Mastercard Maestro və ya Visa Electron) müəyyən edən tətbiq identifikatoru (AID) kombinasiyasından istifadə edərək brendi tanıyır, sonradan onu əməliyyat üçün müəyyən nüvənin işə salınması məqsədilə istifadə edir. EMV nüvəsi – bütün lazımi emal məntiqini və təmaslı yaxud təmassız EMV əməliyyatının aparılması üçün lazım olan məlumatları təmin edən funksiyalar dəstidir.

 Card brand mixup (“kart brendlərinin qarışdırılması”) adlandırılan hücum zamanı terminalı yanlış nüvəni işə salmağa, müvafiq olaraq, satıcının adından ödənişləri emal edən bankı PAN və AID ilə təmassız əməliyyatları qəbul etməyə dələduzluq yolu ilə vadar etməyə imkan verən AID-in ödəniş terminalı üçün yoxlanılmaması faktı istifadə olunur. Daha sonra cinayətkar eyni anda terminalla Visa və kartla Mastercard əməliyyatını həyata keçirir. Maraqlısı odur ki, müvafiq alıcıya çatanadək terminalın komandalarının və kartın cavablarının dəyişdirilməsi imkanı ilə yanaşı, hücumu həyata keçirmək üçün cinayətkarların qurbanın kartına çıxışı olmalıdır. Ekspertlər Mastercard-ı araşdırmaları barədə məlumatlandırdıqdan sonra şirkət belə hücumların qarşısının alınması məqsədilə şəbəkə səviyyəsində mühafizə mexanizmlərini tətbiq edib.