Bayaran Afrika
Banyak yang telah keluar dari persidangan Black Hat USA 2018 di Las Vegas sejak beberapa hari kebelakangan ini. Satu perhatian kritikal yang menuntut penemuan tersebut adalah berita yang datang dari penyelidik Positive Technologies Leigh-Anne Galloway dan Tim Yunusov yang tampil untuk memberi penerangan mengenai serangan kaedah pembayaran dengan kos rendah.
Menurut dua penyelidik itu, penggodam telah menemui cara untuk mencuri maklumat kad kredit atau memanipulasi jumlah transaksi untuk mencuri dana dari pengguna. Mereka berjaya mengembangkan pembaca kad untuk kad pembayaran mudah alih yang murah untuk menjalankan taktik ini. Oleh kerana orang semakin menggunakan kaedah pembayaran baru dan sederhana ini, mereka berjalan sebagai sasaran utama penggodam yang telah menguasai kecurian melalui saluran ini.
Kedua-dua penyelidik itu secara khusus menjelaskan bahawa kelemahan keselamatan dalam pembaca kaedah pembayaran ini dapat membolehkan seseorang memanipulasi apa yang ditunjukkan oleh pelanggan di skrin pembayaran. Ini memungkinkan penggodam untuk memanipulasi jumlah transaksi yang sebenarnya atau membiarkan mesin menunjukkan bahawa pembayaran tidak berjaya pada kali pertama, mendorong pembayaran kedua yang mungkin dicuri. Kedua-dua penyelidik menyokong tuntutan ini dengan mengkaji kekurangan keselamatan dalam pembaca untuk empat syarikat penjualan utama di Amerika Syarikat dan Eropah: Square, PayPal, SumUp, dan iZettle.
Sekiranya pedagang tidak berjalan-jalan dengan niat jahat dengan cara ini, kelemahan lain yang terdapat pada pembaca boleh membenarkan penyerang jarak jauh untuk mencuri wang juga. Galloway dan Yunusov mendapati bahawa cara pembaca menggunakan Bluetooth untuk berpasangan bukanlah kaedah yang selamat kerana tidak ada pemberitahuan sambungan atau kemasukan / pengambilan kata laluan yang berkaitan dengannya. Ini bermaksud bahawa mana-mana penyerang rawak dalam jarak jauh dapat memintas komunikasi sambungan Bluetooth yang dijaga oleh peranti dengan aplikasi mudah alih dan pelayan pembayaran untuk mengubah jumlah transaksi.
Penting untuk diperhatikan bahawa kedua-dua penyelidik telah menjelaskan bahawa eksploitasi jarak jauh dari kelemahan ini belum dilakukan dan bahawa walaupun terdapat kerentanan besar-besaran ini, eksploitasi belum mendapat momentum secara umum. Syarikat-syarikat yang bertanggungjawab untuk kaedah pembayaran ini diberitahu pada bulan April dan sepertinya dari keempatnya, dia Square Square telah mengambil perhatian cepat dan memutuskan untuk menghentikan sokongan untuk Miura M010 Reader yang rentan.
Para penyelidik memberi amaran kepada pengguna yang memilih kad murah ini untuk pembayaran bahawa mereka mungkin bukan taruhan selamat. Mereka menasihatkan bahawa pengguna menggunakan kaedah chip and pin, chip and signature, atau kaedah tanpa sentuh dan bukan sapu jalur magnetik. Di samping itu, pengguna pada akhir penjualan harus melabur dalam teknologi yang lebih baik dan lebih selamat untuk memastikan kebolehpercayaan dan keselamatan perniagaan mereka.
