Bezpečnostní experti z Newcastle university našli způsob, jak z bezkontaktních platebních karet Visa díky jejich chybě ukrást během několika sekund peníze.
Bezkontaktní platební karty používají při transakcích "přiložením" ke platebnímu teminálu kryptografický procesor a technologii RFID. Kvůli "bezpečnosti" jsou většinou nastaveny limity pro placení bezkontaktně, u nás je to typicky 500Kč.
Podle nově uveřejněných informací však lze díky chybě v platebním protokolu převést z cizí bezkontaktní karty na svůj účet až 999.999,999USD, tedy téměř 20 milionů korun. Princip útoku na kartu je založen na podvodném platebním terminálu, kterým může být v podstatě libovolné mobilní zařízení (typicky "chytrý" mobil), který může být nastaven na přijetí vysoké částky.
Podle vyjádření bezpečnostních expertů jsou všechny bezpečnostní kontroly prováděny přímo na kartě, takže v průběhu transakce se vlastně nic podezřelého neděje. Stačí tedy přednastavit obnost, který se má "vysát" z karty a pak kolem ní přejet telefonem s emulátorem platebního terminálu. V testech údajně schválení transakce trvalo méně než sekundu. Zároveň však experti uvedli, že netestovali chování VISA karet v případě, kdy by na ně přišel požadavek platby v cizí měně. I kdyby systémy VISA reagovaly na náhlé velké převody, kyberlumpi by je patrně oběšli větším množstvím menších plateb, které by nebyly podezřelé.
VISA ohledně výsledků průzkumu uvedla, že "zjištění průzkumu byla prověřena" a že výzkum nebral v potaz několik vrstev ochrany". Navíc VISA údajně pracuje na úpravách a vylepšeních svého bezpečnostního systému.