Partnerzy strategiczni
Partnerzy wspierający
Partnerzy wspierający
Partnerzy wspierający
Partnerzy merytoryczni
Zobaczcie jak oszukano system Samsung Pay. Producent twierdzi, że to trudne, ale możliwe

Ta metoda kradzieży może być wykorzystana przeciwko użytkownikom różnych mobilnych systemów płatności

Zanim w obawie przed utratą pieniędzy zdecydujecie się na rezygnację z używania płatności mobilnych czy kart zbliżeniowych, pamiętajcie, że piszę o fraudzie przeprowadzonym można powiedzieć w warunkach laboratoryjnych. Niezwykle ciężko byłoby chyba odtworzyć to oszustwo w codziennym życiu, choćby w sklepie. Samsung twierdzi, że skompromitowanie oferowanego przez niego rozwiązania płatniczego opisaną poniżej metodą jest ekstremalnie trudne. Niemniej wszystko wskazuje na to, że możliwe. Warto więc pamiętać, na jakie sytuacje zwracać uwagę, bo mogą być próbą kradzieży pieniędzy.

Sprawę opisał m.in. serwis The Verge na podstawie prezentacji umieszczonej na stronie Defcon, będącej jedną z największych platform komunikacyjnych społeczności hakerów. Metoda polega na przechwyceniu tokena, czyli unikalnego dla każdej transakcji kodu, generowanego przez aplikację płatniczą podczas próby dokonania płatności. Skradziony token może posłużyć do przeprowadzenia transakcji przez przestępców a jej wartość obciąży rachunek karty, podpiętej do Samsung Pay.

Przeczytajcie także: CERT ostrzega przed kolejnym cyberatakiem

Aby kradzież się udała, konieczne jest zastosowanie urządzenia o nazwie MagSpoof, które przechowuje skradziony token. Na opublikowanym filmie instruktażowym sugeruje się, że złodziej może na przykład poprosić osobę korzystającą z Samsung Pay do zaprezentowania działania tego systemu. Wówczas token może zostać wygenerowany przez aplikację i przechwycony przez niewielkie urządzenie umieszczone na nadgarstku, które wysyła go na skonfigurowany adres e-mail. Stąd transferowany jest do MagSpoofa. Ten może zostać wykorzystany przez przestępców do płatności zbliżeniowej, którą wykonuje się w sposób podobny jak smartfonem czy kartą bezstykową. Autorowi filmu udało się w ten sposób zapłacić za chipsy w automacie.

Jak widzicie, w sytuacji tu opisanej rzeczywiście do kradzieży tokena może dojść. Jednak jeżeli ktoś z Was kiedykolwiek będzie demonstrował działanie używanej przez siebie aplikacji płatniczej, to raczej znajomemu, którego trudno podejrzewać o chęć dokonania kradzieży. Osoba postronna w życiu codziennym będzie miała dużo trudniejsze zadanie. Aby dokonać przechwycenia tokena, trzeba być bardzo blisko smartfona ofiary podczas dokonywania przez nią płatności. Następnie transakcja oszukańcza musi zostać wykonana w ciągu 24 godzin od momentu wygenerowania tokena. Wszystko razem czyni takie przedsięwzięcie mało prawdopodobnym. No chyba, że przestępcy wpadną na pomysł zamontowania gdzieś fałszywego terminala przechwytującego tokeny, tak jak montują dziś na bankomatach urządzenia do kopiowania paska magnetycznego kart.

Przeczytajcie także: Ten atak nigdy nie powinien się powieść

The Verge pisze, iż na podobne fraudy narażeni są nie tylko użytkownicy Samsung Pay, ale także innych instrumentów płatniczych. Ponadto ma istnieć możliwość wygenerowania prawidłowego tokena bez konieczności przechwycenia go od kogokolwiek. Po prostu na podstawie analizy wzorów, według których kody powstają, można stworzyć token fałszywy, który posłuży do płatności. Autor filmiku nie podał jednak informacji, czy udało mu się dokonać tej sztuki a Samsung twierdzi, że to niemożliwe.

Wydaje mi się, że tak jak twierdzi Samsung, dokonanie kradzieży przy wykorzystaniu przechwyconego tokena będzie bardzo trudne. Przy tym szkoda w polskich warunkach sięgałaby maksymalnie 50 zł, bo przecież transakcje powyżej tej wartości są autoryzowane PIN-em. Niemniej, gdy następnym razem będę płacił za coś smartfonem w jakimkolwiek automacie, sprawdzę, czy zainstalowany tam terminal nie wygląda podejrzanie. Tak jak podchodząc dziś do bankomatu, upewniam się, czy nie ma tam skimmera.

UDOSTĘPNIJ TEN ARTYKUŁ

Zapisz się do newslettera

Aby zapisać się do newslettera, należy podać adres e-mail i potwierdzić subskrypcję klikając w link aktywacyjny.

Nasza strona używa plików cookies. Więcej informacji znajdziesz na stronie polityka cookies