Thông thường thật không khôn ngoan nếu từ bỏ quyền kiểm soát điện thoại của bạn, đặc biệt là khi Timur Yunosov có iPhone của bạn trong tay, đặc biệt là khi Timur Yunosov có iPhone của bạn trong tay, một nhà nghiên cứu an ninh mạng người Nga có sở thích khám phá và phá vỡ các lỗ hổng ứng dụng cho phép thanh toán không tiếp xúc.
Mất vài phút để anh ta có thể rút tiền từ tài khoản ngân hàng vốn đã không còn tiền của tôi. Chỉ cần gắn một thiết bị đã khóa vào thiết bị đầu cuối thì tài khoản của tôi có thể bị trừ tiền với tài khoản thấu chi.
May mắn thay, Yunosov là một hacker “tốt bụng” làm việc cho công ty Positive Technologies ở Moscow, tuy nhiên, hiện đang phải đối mặt với tác động của các lệnh trừng phạt của Mỹ do cáo buộc sự hỗ trợ các cơ quan an ninh Điện Krem-lanh.
Yunosov đã gửi lại toàn bộ số tiền của tôi ngay sau đó, mà ông khẳng định lại là một điểm yếu từ lâu và vẫn chưa được khắc phục trong Apple Pay – tính năng chạm và thanh toán. Điều này cho phép bạn thanh toán, chẳng hạn như trong tàu điện ngầm London hoặc phương tiện giao thông công cộng ở New York chỉ với một cú nhấp chuột nhanh chóng mà không cần phải mở khóa điện thoại.
Các nhà nghiên cứu tại các trường đại học Birmingham và Surrey đã thực hiện vụ tấn công tương tự như Yunosov vào tháng 9 năm 2021. Họ đã tìm ra cách để vượt qua cài đặt bảo mật của điện thoại, khi họ buộc phải tin điện thoại, rằng nó đã ủy quyền thanh toán cho cửa quay của xe lửa, mặc dù khoản thanh toán thực sự diễn ra ở bất kỳ thiết bị đầu cuối nào trong cửa hàng. Họ cũng có thể cho phép thanh toán tại một thiết bị đầu cuối do hacker kiểm soát, nơi tiền được chuyển trực tiếp vào tài khoản của kẻ tấn công.
Nhưng Yunosov không chỉ muốn thể hiện những gì có thể làm được với các thiết bị của Apple, ông còn tập trung vào điện thoại Samsung.Ông ta phải mang chiếc điện thoại Samsung bị đánh cắp về nhà, thậm chí như vậy, bằng cách sử dụng ứng dụng chạm và đi, ông ấy đã có thể rút các khoản dự trữ tài chính từ tài khoản của mình mà không cần phải mở khóa điện thoại.
Nó chắc chắn không giống như trường hợp của Apple, nơi một cuộc tấn công của hacker có thể thành công chỉ trong vài phút trong cửa hàng nhờ thiết bị được cài đặt cho phép thanh toán qua điện thoại bị khóa. Tuy nhiên, nó vẫn là một mối đe dọa đối với những người bị mất điện thoại và rơi vào tay của một kẻ lừa đảo thành thạo về kỹ thuật.
Nhưng đó là một cải tiến nhỏ. Cho đến tháng 6 năm 2021, có thể áp dụng chính xác phương pháp tương tự như để chuyển Apple Pay sang Samsung Pay được kết nối với thẻ MasterCard. Yunosov cho biết: “Gần đây, họ đã lặng lẽ sửa nó mà không thông báo cho tôi”.
Thực tế là tính năng nhấn và thanh toán hoạt động ngay cả khi điện thoại hết pin và tắt nguồn, giúp ích cho cả khách du lịch và những kẻ hacker. Yunosov giải thích: “Nếu bạn sử dụng thẻ Visa với Apple Pay, bất kỳ ai cũng có thể lấy điện thoại của bạn, cả khi nó hết pin, ghé thăm một cửa hàng sang trọng và mua bất cứ thứ gì”.
Và không còn giới hạn về số tiền được chuyển. Trong cuộc biểu tình của chúng tôi, nó chỉ là một vài bảng, nhưng trong thế giới thực, số tiền bị đánh cắp có thể lên đến hàng nghìn bảng.
Nhưng sự thật là những cuộc tấn công của hacker này có một số hạn chế rõ ràng trong cuộc sống hàng ngày. Chúng chỉ có thể diễn ra nếu kẻ tấn công có quyền truy cập thực tế vào điện thoại. Và bởi vì MasterCard và Google đã thực hiện một số bước chung để tăng cường bảo mật, các cuộc tấn công giờ chỉ có thể được thực hiện nếu Visa được đặt làm thẻ chính cho thanh toán di động, Yunosov nói.
Không có gì để sợ. Hoặc có?
Thật không may, tuyên bố của Samsung đã không được thu thập cho đến khi bài báo được xuất bản. Các công ty khác như Apple, Visa và MasterCard đã đồng ý rằng họ không tin rằng có sự gia tăng các mối đe dọa từ các cuộc tấn công tương tự trong thế giới thực.
Một phát ngôn viên của Apple cho biết: “Điều này đặc biệt đáng lo ngại đối với thẻ Visa. Tuy nhiên, Visa không tin rằng kiểu gian lận này có thể xảy ra trong thế giới thực, nhờ vào nhiều biện pháp bảo mật khác. Trong trường hợp không chắc chắn xảy ra thanh toán trái phép, Visa đã tuyên bố rõ ràng rằng chủ thẻ được bảo vệ bởi chính sách không chịu trách nhiệm pháp lý. “
Người phát ngôn của Visa cho biết thêm: “Thẻ Visa được liên kết với một ví điện thoại di động và các khoản thanh toán quá cảnh được ủy quyền rất an toàn và chủ thẻ có thể sử dụng mà không phải lo lắng gì. Các hình thức gian lận thanh toán không tiếp xúc khác nhau đã được thử nghiệm trong điều kiện phòng thí nghiệm trong hơn một thập kỷ và được chứng minh là rất khó sử dụng trong cuộc sống hàng ngày.”
Theo ông, nhiều tính năng bảo mật bổ sung được sử dụng cho cả thẻ và thiết bị, đồng thời ông cũng đề cập đến chính sách không chịu trách nhiệm pháp lý. “Visa rất coi trọng tất cả các mối đe dọa bảo mật và vẫn đang nghiên cứu phát triển các tính năng bảo mật mới để bảo vệ các giao dịch chống lại các mối đe dọa mới nhất trong thế giới thực”, ông nói thêm.
Theo người phát ngôn của MasterCard thì chủ thẻ có thể đừng lo lắng, vì thanh toán bằng thẻ MasterCard hiện đang được bảo mật về mặt này.
“Kịch bản cụ thể này đã được trình bày cho chúng tôi thông qua chương trình phát hiện mối đe dọa của chúng tôi. Và mặc dù, theo các chuyên gia của chúng tôi, việc sử dụng nó bên ngoài môi trường phòng thí nghiệm là rất hạn chế, chúng tôi đã quyết định giải quyết mối đe dọa tiềm tàng này. “
Tuy nhiên, Yunosov cho rằng mối đe dọa vẫn tồn tại bất chấp mọi sự đảm bảo của các công ty thẻ. Ông ấy đề xuất một giải pháp đơn giản cho bất kỳ ai lo lắng về mối nguy hiểm này: tắt tùy chọn thanh toán chuyển tuyến từ một thiết bị bị khóa trên thiết bị của bạn.