支払いアフリカ
ここ数日、ラスベガスで開催されたBlack Hat USA2018カンファレンスから多くのことが発表されました。このような発見を要求する非常に注目すべき点の1つは、PositiveTechnologiesの研究者であるLeigh-AnneGallowayとTimYunusovからのニュースであり、低コストの支払い方法による攻撃の増加に光を当てています。
2人の研究者によると、ハッカーはクレジットカード情報を盗んだり、取引金額を操作してユーザーから資金を盗んだりする方法を発見しました。彼らは、これらの戦術を実行するための安価なモバイル決済カード用のカードリーダーを開発することに成功しました。人々がこの新しくてシンプルな支払い方法をますます採用するにつれて、彼らはこのチャネルを通じて盗難をマスターしたハッカーの主要な標的として侵入しています。
2人の研究者は特に、これらの支払い方法のリーダーのセキュリティの脆弱性により、支払い画面に表示される顧客を誰かが操作できる可能性があると説明しました。これにより、ハッカーが実際の取引金額を操作したり、マシンが最初に支払いが失敗したことを表示したりして、盗まれる可能性のある2回目の支払いを促す可能性があります。 2人の研究者は、米国とヨーロッパの4つの主要なPOS企業であるSquare、PayPal、SumUp、およびiZettleのリーダーのセキュリティ上の欠陥を調査することにより、これらの主張を支持しました。
商人がこのように悪意を持って歩き回らない場合、リーダーに見られる別の脆弱性により、リモートの攻撃者もお金を盗む可能性があります。 GallowayとYunusovは、Bluetoothを使用してペアリングする方法は、接続通知やパスワードの入力/取得が関連付けられていないため、安全な方法ではないことを発見しました。これは、範囲内のランダムな攻撃者が、デバイスがモバイルアプリケーションおよびペイメントサーバーと維持しているBluetooth接続の通信を傍受して、トランザクション量を変更できることを意味します。
2人の研究者が、この脆弱性のリモートエクスプロイトはまだ実行されておらず、これらの大規模な脆弱性にもかかわらず、エクスプロイトはまだ一般的に勢いを増していないことを説明していることに注意することが重要です。これらの支払い方法を担当する会社は4月に通知され、4社のうちSquare社はすぐに通知を受け取り、脆弱なMiura M010Readerのサポートを中止することを決定したようです。
研究者たちは、支払いにこれらの安いカードを選択するユーザーに、安全な賭けではないかもしれないと警告しています。磁気ストライプスワイプの代わりに、チップとピン、チップと署名、または非接触方式を使用することをお勧めします。これに加えて、物事の販売側のユーザーは、ビジネスの信頼性とセキュリティを確保するために、より優れたより安全なテクノロジーに投資する必要があります。
