Phát hiện lỗ hổng cho phép vượt qua hạn mức thẻ tín dụng

14:00 | 05/08/2019 | LỖ HỔNG ATTT

Theo nghiên cứu của công ty an ninh mạng Positive Technologies (có trụ sở chính tại Anh), lỗ hổng được phát hiện có thể cho phép tin tặc vượt qua giới hạn thanh toán của mỗi lần giao dịch trên thẻ Visa mà không cần tiếp xúc với bất kỳ các thiết bị đầu cuối thẻ (card terminal).

Phát hiện lỗ hổng cho phép vượt qua hạn mức thẻ tín dụng

Trong thông cáo báo chí ngày 29/7, các nhà nghiên cứu cho biết đã tiến hành kiểm tra lỗ hổng được phát hiện tại 5 ngân hàng lớn của Anh (thực hiện trên thẻ và các thiết bị đầu cuối trong và ngoài lãnh thổ nước Anh). Kết quả cho thấy, kẻ tấn công có thể đánh cắp tài khoản và thay đổi hạn mức thanh toán vượt 100% hạn mức quy định trong mỗi lần giao dịch.

Các cuộc tấn công được thực hiện bằng cách kiểm soát hai trường dữ liệu được trao đổi giữa thẻ và thiết bị đầu cuối thẻ trong giao dịch thanh toán không tiếp xúc. Phần lớn tại Anh, khi thanh toán bằng thẻ, nếu giá trị thanh toán trên 30 bảng, thì cần xác thực bổ sung về chủ thẻ. Nếu việc xác thực không thành công, thẻ sẽ thông báo “Không thể giao dịch” để ngăn chặn việc thanh toán vượt quá giới hạn. Ngoài ra, thiết bị đầu cuối được cấu hình cụ thể theo quốc gia, sẽ yêu cầu thẻ hoặc ví điện tử cung cấp xác thực bổ sung về chủ thẻ, chẳng hạn như thông qua mã PIN của thẻ hoặc xác thực dấu vân tay trên điện thoại.

Lớp kiểm tra này bị qua mặt bằng cách sử dụng một thiết bị hoạt động như một máy chủ proxy chặn bắt liên lạc giữa thiết bị đầu cuối thẻ và thẻ. Phương thức tấn công này được biết đến với tên gọi Người-đứng-giữa (MitM). Các cuộc tấn công MitM cũng có thể được thực hiện bằng cách sử dụng ví điện tử, cho phép tin tặc thanh toán với số tiền lên tới 30 bảng Anh mà không cần mở khóa điện thoại.

Thông cáo cũng cho biết, thiết bị này có thể khiến thẻ không yêu cầu phải xác thực, mặc dù số tiền thanh toán lớn hơn 30 bảng Anh. Thiết bị sẽ báo cho thiết bị đầu cuối thẻ rằng việc xác thực đã được thực hiện bằng một phương thức khác. Hình thức tấn công này là khả thi vì thẻ Visa không yêu cầu nhà phát hành và nơi thanh toán phải kiểm tra những bước xác thực tối thiểu ngay tại chỗ.

Theo ông Tim Yunusov, lãnh đạo bộ phận an ninh ngân hàng của công ty Positive Technologies cho biết, ngành công nghiệp thanh toán cho rằng các thanh toán không tiếp xúc đã được bảo vệ bởi các biện pháp đang được áp dụng, nhưng thực tế là các hoạt động gian lận qua thanh toán không tiếp xúc đang gia tăng. Mặc dù đây là một hình thức gian lận tương đối mới và có thể không phải là ưu tiên số một của các ngân hàng tại thời điểm này, nhưng nếu xác thực giới hạn của thẻ không tiếp xúc có thể dễ dàng bị vượt qua thì sẽ gây thiệt hại nghiêm trọng đối với các ngân hàng và khách hàng của họ.

Đỗ Đoàn Kết

Theo Infosecurity

‹ › ×

Tin liên quan

Ban hành tài liệu hướng dẫn xác định và bảo vệ hệ thống thông tin theo cấp độ

08:00 | 02/08/2019

Mới đây, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) chính thức công bố tài liệu hướng dẫn xác định và thực thi bảo vệ hệ thống thông tin theo cấp độ.

22.000 máy tính tại Việt Nam có nguy cơ bị tấn công

09:00 | 16/08/2019

Cục An toàn thông tin (Bộ TT&TT) vừa phát đi công văn cảnh báo về lỗ hổng nghiêm trọng trong dịch vụ truy cập từ xa, ảnh hưởng tới nhiều phiên bản hệ điều hành Windows. Theo thống kê, Việt Nam có khoảng 22.000 máy tính có thể bị ảnh hưởng bởi lỗ hổng này.

Tranh cãi về lỗ hổng mới được phát hiện trong phần mềm của máy bay Boeing 787

14:00 | 29/08/2019

Một bài thuyết trình trong hội thảo Black Hat tại Mỹ mới đây có nội dung về cách chiếm quyền điều khiển một chiếc máy bay Boeing 787 thông qua việc khai thác các lỗ hổng, đã bị hãng sản xuất máy bay lớn nhất thế giới Boeing tuyên bố là "vô trách nhiệm và gây hiểu lầm".

Banking Vietnam 2019: Xu thế phát triển của nền kinh tế không dùng tiền mặt

16:00 | 30/05/2019

Ngày 30/5/2019, Hội thảo - Triển lãm Banking Vietnam 2019 với chủ đề “Tài chính toàn diện trong xu thế phát triển của nền kinh tế không dùng tiền mặt” được tổ chức bởi Viện chiến lược ngân hàng (Ngân hàng nhà nước) phối hợp cùng IDG. Tới tham dự và phát biểu khai mạc có PGS. TS. Nguyễn Kim Anh - Phó Thống đốc Ngân hàng Nhà nước Việt Nam.

Hơn 100 website thương mại điện tử bị nhiễm mã độc đánh cắp dữ liệu thẻ

11:00 | 16/06/2019

Theo thông tin từ Netlab 360 (công ty có trụ sở tại Trung Quốc), hơn 100 trang web thương mại điện tử bị kẻ tấn công chèn các liên kết khiến JavaScript độc hại, được thực thi để đọc lén dữ liệu thẻ thanh toán của khách hàng.

Tin cùng chuyên mục

Lỗ hổng trên DeFi trên Curve Finance được trao thưởng lên tới 250.000 USD

09:00 | 17/04/2024

Một nhà nghiên cứu bảo mật có biệt danh Marco Croc từ Kupia Security đã được thưởng 250,000 USD vì phát hiện ra một lỗ hổng mà trong lịch sử đã cho phép tin tặc rút hàng triệu USD từ các giao thức tiền điện tử. Lỗ hổng này tái xuất hiện trong giao thức tài chính phi tập trung (DeFi) Curve Finance.

Plugin GPT của bên thứ ba có thể khiến người dùng bị chiếm đoạt tài khoản

08:00 | 04/04/2024

Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.

Tấn công phishing với công cụ EVILGINX: mối đe dọa tiềm tàng

14:00 | 23/02/2024

Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.

Tin tặc phát tán phần mềm độc hại qua thiết bị USB trên các nền tảng trực tuyến

10:00 | 21/02/2024

Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.