Хакеры могут обходить PIN-код на краденых картах Mastercard и Maestro

Для атаки под названием «человек посередине» (MitM) требуется только два Android-смартфона, специальное приложение и карточка жертвы.

Приложение устанавливается на оба смартфона — благодаря ему они играют роль эмуляторов. Первый должен находиться вблизи от украденной карты и имитирует PoS-терминал, обманом заставляя её инициировать транзакцию и отправить свои данные. Второй выступает эмулятором банковской карты, позволяя злоумышленнику передать модифицированные транзакционные данные на настоящий терминал.

Эксперты отмечают, что для атаки нужен доступ к карточке и возможность видоизменять команды терминала и ответы карты. Но уязвимость вполне могут начать применять на практике, если в технологиях бесконтактных платежей обнаружатся какие-либо другие изъяны. Раскрывать своё Android-приложение специалисты не намерены, чтобы не допустить эксплуатации находки.

Ранее та же команда исследователей выявила способ воровать деньги без PIN-кода с бесконтактных карточек Visa.