Temassız Kredi Kartı Ödemelerindeki Tehlike

Temassız Kredi Kartı Ödemelerindeki Tehlike

Bulunan bir güvenlik açığı, suçluların hedef kredi kartlarının PIN kodlarını bilmelerine gerek kalmadan temassız kartlardan para transfer etmelerine izin verebilir.

Zürih’te yer alan Swiss Federal Institute of Technology içerisinde bulunan bir grup araştırmacı, Visa kartların sahip olduğu temassız EMV protokolünde saldırganların PIN kodunu bypass edebilecekleri bir zafiyet tespit ettiler.

Temassız ödeme yaparak gerçekleştirilen alışverişlerde, genellikle temassız şekilde yapılabilen ödemelerin miktarında bir limitleme bulunmaktadır. Eğer bu limit aşılırsa, kart sahibinden bir onay istenir ve bu onay da bir PIN kodu ile sağlanmaktadır.

Ancak, ‘The EMV Standard: Break, Fix, Verify’ başlıklı gerçekleştirilen yeni araştırmanın sonucunda, bir saldırgan bulunmuş olan zafiyetten faydalanarak temassız işlemlerde bulunan limitin aşıldığı durumlarda istenilen PIN koduna gerek kalmadan istediği para miktarını karttan transfer edebileceği tespit edilmiştir.

Akademisyenler Nasıl Gerçekleştiğini Gösterdi!

Akademisyenler, bu saldırının iki Android telefon, bir temassız kredi kartı ve bu amaç için özel olarak geliştirilen Proof-of-Concept (PoC) niteliğinde bir Android uygulaması ile nasıl gerçekleştirilebileceğini gösterdiler.

Ödeme terminalinin yanında bulunan telefon, saldırganın kart emülatör cihazını, kurbanın kartının yanında bulunan telefon ise POS emülatör cihazını temsil etmektedir. Saldırganın cihazları birbirleri ile Wi-Fi üzerinden, kart ile terminal ise NFC üzerinden iletişim kurmaktadır. Ayrıca, araştırmacılar tarafından geliştirilen bu özel Android uygulamasının da herhangi bir root yetkisi veya başka özel işlemler gerektirmediği de belirtilmektedir.

Yapılan saldırı, kart kaynaklı gönderilen -Kart Transfer Niteleyicisi- bir verinin terminale ulaşmadan önce bu verinin üzerinde gerçekleştirilen bir modifikasyondan kaynaklanmaktadır. Saldırı esnasında eğer belirlenen limit aşımı gerçekleşirse bu saldırı ile terminale aşılan limit için bir PIN kodunun halihazırda kart sahibi tarafından onaylandığı ve başka bir onaylamanın gerekmediği belirtilmektedir.

Araştırmacılar teoride bu saldırının Discover ve UnionPay protokolleri için de çalışacağını düşünmüş olsalar da henüz bunlar pratikte test edilmedi ve gerçekleştirilen bu PIN bypass demo saldırısını da Mastercard, Visa, American Express, JCB, Discover, UnionPay’e ait altı temassız EMV protokolünden birinde test etti. Akıllı kart ödemesi için uluslararası protokol standardı olan EMV, dünya çapında 9 milyardan fazla kartta kullanılıyor ve Aralık 2019 itibariyle tüm dünyadaki kartlı mevcut işlemlerin% 80’inden fazlasında kullanılmaktadır.

Demo Saldırı Laboratuvarla Sınırlı Kalmadı!

Şundan da bahsetmek gerekir ki bu demo saldırı sadece bir laboratuvar ortamında test etmekle kalmadı. Aynı zamanda kendi Visa Credit, Visa Electron ve V Pay kartlarını kullanarak gerçek mağazalarda başarıyla gerçekleştirilebildi.

Araştırmacılar ek olarak, alışveriş merkezlerindeki müşteriler artık genellikle işlemlerinin hepsini akıllı telefonlarla yapıyorlar. Bu tarz bir saldırının da kasiyerler tarafından kolay bir şekilde fark edilemeyeceğinin de altını çizdiler.

Araştırmacılar ayrıca Visa veya eski bir Mastercard kart kullanılarak gerçekleştirilen çevrimdışı temassız işlemlerde bulunan başka bir güvenlik açığını daha ortaya çıkardı. Bu saldırıda ise, kart tarafından üretilen ve karttan çıkan “İşlem Şifresi”, terminale teslim edilmeden önce manipülasyona uğramaktadır.

Ancak, bu veri terminal tarafından değil de kartı veren kurum veya banka tarafından onaylanabiliyor. Bu yüzden saldırganların bu saldırıda başarılı olma yüzdeleri düşüktür. Araştırmacılar da bu gibi etik sebeplerden ötürü bu saldırıyı gerçek hayatta denemediklerini belirtmektedirler.

Son olarak, araştırmacılar bulunan zafiyetler Visa’ya bildirdiklerini belirtmektedirler.

Related Posts

Leave a Reply