תשלומים אפריקה
הרבה יצא מכנס Black Hat USA 2018 בלאס וגאס בימים האחרונים. אחת תשומת הלב הביקורתית שדורשת גילוי כזה היא החדשות שמגיעות מחוקרי הטכנולוגיות החיוביות ליי-אן גאלווי וטים יונוסוב, שהתייצבו כדי לשפוך אור על התקפות שיטות תשלום בעלות נמוכה יותר.
על פי שני החוקרים, האקרים מצאו דרך לגנוב פרטי כרטיס אשראי או לתפעל סכומי עסקה כדי לגנוב כספים ממשתמשים. הם הצליחו לפתח קוראי כרטיסים לכרטיסי תשלום זולים לנייד כדי לבצע את הטקטיקות הללו. מכיוון שאנשים מאמצים יותר ויותר את שיטת התשלום החדשה והפשוטה הזו, הם נכנסים כמטרות עיקריות להאקרים ששלטו בגניבה דרך ערוץ זה.
שני החוקרים הסבירו במיוחד כי פגיעות אבטחה בקוראי אמצעי תשלום אלה יכולים לאפשר למישהו לתפעל את מה שהלקוחות מוצגים על גבי מסכי התשלום. זה יכול לאפשר להאקר לתפעל את סכום העסקה האמיתי או לאפשר למכונה להראות שהתשלום לא הצליח בפעם הראשונה, מה שידרש תשלום שני שיכול להיגנב. שני החוקרים תמכו בטענות אלה על ידי חקר פגמי האבטחה בקוראים עבור ארבע חברות נקודת מכירה מובילות בארצות הברית ובאירופה: Square, PayPal, SumUp ו- iZettle.
אם סוחר לא מסתובב בצורה כזאת בצורה כזו, פגיעות נוספת שנמצאה אצל הקוראים יכולה לאפשר לתוקף מרוחק לגנוב גם כסף. גאלווי ויונוסוב גילו כי הדרך בה הקוראים השתמשו ב- Bluetooth לזיווג אינה שיטה מאובטחת מכיוון שלא הייתה קשורה התראה על חיבור או הזנת / אחזור סיסמה. המשמעות היא שכל תוקף אקראי בטווח יכול להצליח ליירט את התקשורת של חיבור ה- Bluetooth שהתקן שומר עם אפליקציה סלולרית ושרת התשלומים כדי לשנות את סכום העסקה.
חשוב לציין ששני החוקרים הסבירו כי ניצולים מרחוק של פגיעות זו טרם בוצעו ולמרות הפגיעות המסיביות הללו, ניצולים עדיין לא תפסו תאוצה באופן כללי. החברות האחראיות על אמצעי התשלום הללו קיבלו הודעה באפריל ונראה כי מבין הארבע, חברת סקוור התייחסה במהירות והחליטה להפסיק את התמיכה בקורא ה- Miura M010 הפגיע שלה.
החוקרים מזהירים משתמשים שבחרו בכרטיסים זולים אלה לתשלום, כי יתכן שהם אינם הימורים בטוחים. הם מייעצים למשתמשים להשתמש בשבב וסיכה, שבב וחתימה, או בשיטות ללא מגע במקום החלקה של פס מגנטי. בנוסף לכך, על המשתמשים שנמצאים בסוף המכירה להשקיע בטכנולוגיה טובה ובטוחה יותר בכדי להבטיח את אמינות וביטחון העסק שלהם.
