Yeni Hack, Hackerların Visa Kart Kullanarak MasterCard PIN’ini Atlamasına İzin Veriyor

Siber güvenlik araştırmacıları, hackerların bir satış noktası terminalini, bir Visa kartı olduğuna inanarak kurbanın Mastercard temassız kartıyla işlem yapacağı yeni bir saldırıyı ortaya çıkardılar.

Zürih ETH’den bir grup akademisyen tarafından yayınlanan araştırma, geçen Eylül ayında ayrıntılı bir araştırmaya dayanıyor ve hackerların bir kurbanın çalınan veya kaybolan Visa EMV özellikli kredi kartını yüksek değerli alışverişler yapmak için kullanmasına izin veren PIN bypass saldırısına giriyor. Kartın PIN kodu olmadan ve hatta terminali gerçek olmayan çevrimdışı kart işlemlerini kabul ettirme olasılığı var.

Araştırmacılar , “Bu sadece kart markası karışıklığı değil, kritik sonuçları var” dedi. Örneğin, hackerlar bunu Visa’ya yapılan önceki saldırıyla birlikte kullanarak Mastercard kartlarının PIN kodunu da atlar. Marka kartlarını daha önce PIN ile korudu. “

ETH Zurich araştırmacıları, Mastercard’ın bu tür saldırıları engellemek için ağ düzeyinde savunma mekanizmaları uyguladığını söyledi.

Kart Markası Karıştırma Saldırısı

Visa’ya yapılan önceki saldırılar gibi, en son araştırma da yaygın kullanılan EMV temassız protokolündeki “ciddi” güvenlik açığıyla oldu. Ancak bu sefer hedef bir Mastercard kartıdır.

Bu, bir röle saldırısı mimarisinin üzerine ortadaki adam (MitM) saldırısı uygulayan bir Android uygulamasıyla olur.

Verilen kart Visa veya Mastercard’sa, EMV işlemlerini kolaylaştırmak için gereken yetkilendirme talebi ödeme ağına gider. Ödeme terminali, markayı birincil hesap numarası (PAN, kart numarası olarak da bilinir) ve kart türünü benzersiz şekilde tanımlayan bir uygulama tanımlayıcı ( AID ) (örneğin, Mastercard Maestro veya Visa Electron) olarak adlandırılan bir kombinasyon kullanarak tanır. Ve daha sonra işlem için belirli bir çekirdeği etkinleştirmek için ikincisine ihtiyaç duyar.

EMV Çekirdeği, EMV temaslı veya temassız işlem gerçekleştirmek için gerekli işlem mantığını ve verileri sağlayan işlevdir.

Kart markası karmaşası” saldırısı, bu AID’lerin ödeme terminalinde doğrulanmamasından kaynaklı oluştu. Ve bir terminalin hatalı çekirdeği etkinleştirmesi için terminali ve ödemeleri işleyen bankayı aldatmasını mümkün kılar.

Araştırmacılar, “Hacker daha sonra terminalle aynı anda bir Visa işlemi gerçekleştirir. Ve kartla bir Mastercard işlemi gerçekleştirir” diye özetledi.

Ancak saldırının, başarılı olması için bazı koşulları sağlaması gerekir. Hackerlar, ilgili alıcıya teslim etmeden önce terminalin komutlarını ve kartın yanıtlarını değiştirebilmeye hakkına sahip olmalıdır. Bunun yanı sıra mağdurun kartına erişim hakkına sahip olmalıdır. Proof-of-concept (PoC) uygulamasını kullanmak için Android’de kök ayrıcalıklarına sahip olma veya açıklardan yararlanmaya gerek yoktur.

Ancak araştırmacılar, EMV temassız protokolündeki ikinci bir eksikliğin, bir hackerın “Visa olmayan bir karttan elde edilenlerden Visa protokolü tarafından belirtilen tüm gerekli yanıtları oluşturmasına izin verebileceğine dikkat çekti. Ve kartı veren kuruluşun işlemi yetkilendirmesi için gereken kriptografik kanıtları da içerebileceğini belirtiyorlar.”

Mastercard Önlemler Ekliyor

PoC Android uygulamasını kullanan araştırmacılar, her biri farklı bankalar tarafından verilen Mastercard kredi ve banka kartlarıyla yapılan işlemler için PIN doğrulamasını atlayabildiklerini söylediler.

Bulgulara yanıt olarak, Mastercard, finansal kuruluşların AID’yi yetkilendirme verilerine dahil etmesini zorunlu kıldı. Kart düzenleyenlerin AID’yi PAN’ye göre kontrol etmelerine olanak sağlamak gibi bir dizi karşı önlem ekledi.

Ödeme ağı, yetkilendirme talebinde bulunan ve saldırılarda kullanılacak diğer veri noktaları için kontroller gerçekleştirdi. Böylece en başta hileli bir işlemi reddetti.

Benzer haberler için buraya tıklayınız.

Kaynak: thehackernews.com

En son haberler

İlgili haberler