Исследователи Positive Technologies рассказали на конференции Black Hat в США о серьезных недостатках безопасности в мобильных POS-терминалах (mPOS), благодаря которым мошенники могут вмешаться в процесс оплаты — изменить сумму или вынудить покупателя использовать менее надежные методы проведения транзакции, например, по магнитной полосе. Уязвимости были обнаружены в mPOS ведущих производителей Европы и США — Square, SumUp, iZettle и PayPal.
Терминалы mPOS позволяют принимать к оплате банковские карты везде, где есть сотовая связь, с помощью смартфона или планшета и мобильного приложения поставщика платежных услуг. Во многих современных моделях связь между mPOS и смартфоном (планшетом) осуществляется по протоколу Bluetooth.
Как выяснили исследователи, недобросовестный продавец может получить доступ к Bluetooth-трафику и изменить сумму, которая до этого отображалась на mPOS, а покупатель, сам того не зная, подтвердит оплату на совершенно другую сумму. Для этого транзакция должна верифицироваться магнитной полосой. Однако, по данным EMVCo, в России и странах СНГ более 90% транзакций осуществляются с помощью чипа. Тем не менее пользователи могут воспользоваться картами с магнитной полосой в странах, где такой вид мошенничества более актуален: к примеру, в США и странах Азии доля транзакций с помощью чипа составляет 41% и 54% соответственно.
«В зарубежных странах недобросовестным продавцам гораздо проще зарегистрировать терминал mPOS и начать осуществлять платежи. В США для регистрации терминала потребуется лишь номер социального страхования, а в России владелец mPOS должен иметь регистрацию ИП. Однако на территории нашей страны эти терминалы используются в работе компаний, которым необходимо принимать платежи там, где обычные терминалы не используются — курьерская доставка с оплатой и т.п. Поэтому при оплате через mPOS покупателям не рекомендуется использовать магнитную полосу карты, — отметил Тимур Юнусов, руководитель отдела безопасности банковских систем Positive Technologies. — Более безопасными являются транзакции с применением чипа карты и верификацией платежа PIN-кодом или подписью, а также бесконтактный способ оплаты».
В ряде mPOS присутствовала уязвимость, которая приводит к удаленному выполнению кода (Remote Code Execution, RCE). Ее эксплуатация позволяет получить полный контроль над операционной системой устройства, считывающего данные банковской карты. Недобросовестный продавец может собирать данные с магнитной полосы или чипа для создания клона карты. Также при наличии определенных навыков у злоумышленника существует возможность перехвата PIN-кода с чиповой карты. Более того, мошенничество с помощью mPOS может произойти и со стороны недобросовестного покупателя. Имитируя оплату по карте, злоумышленник может подключить свое зловредное устройство — смартфон или ноутбук к данному терминалу, заразить его вредоносным ПО и в дальнейшем собирать данные с карт других пользователей, расплачивающихся с помощью этого mPOS.
Кроме того, на некоторых mPOS была выявлена возможность отправки специальных команд, которые могут использоваться в целях мошенничества и влиять на действия покупателя. Неблагонадежный продавец может, например, вынудить покупателя использовать менее защищенный способ оплаты (через магнитную полосу карты) или сказать, что платеж отклонен, заставив его таким образом произвести оплату еще раз.
Компания Positive Technologies проинформировала поставщиков и производителей уязвимых терминалов mPOS и оказывает им содействие в устранении обнаруженных проблем.