Исследователи из Кембриджского университета (Великобритания) обнаружили фундаментальную уязвимость в так называемых «чипованных» платежных картах. Оказалось, что дебетовые и кредитные банковские карты, использующие протокол EMV (Europay, MasterCard, Visa), можно использовать в некоторых транзакциях без действительного PIN-кода, что открывает перед мошенниками богатые возможности для преступлений.

Как показало исследование, существует возможность создать устройство, которое может перехватывать и изменять поток данных между картой и платежным терминалом. Такое устройство может обмануть терминал и провести платеж без ввода PIN-кода. Ученым удалось провести платежи без PIN-кода с карточками шести эмитентов, в том числе Barclaycard, Co-operative Bank, Halifax, Bank of Scotland, HSBC и John Lewis.

Ученые пока не раскрывают всех подробностей атаки, однако известно, что для проведения мошеннической операции достаточно поместить украденную карту в серийный считыватель карт, который умещается в рюкзаке. Перехваченные данные с украденной карты с помощью специальных программ помещаются на фальшивую карту, которая затем вставляется в платежный терминал. Фальшивая карта подает на терминал специальный сигнал, в результате чего терминал считает, что введен корректный PIN-код, хотя мошенникам совсем необязательно знать этот код – транзакция будет считаться проверенной.

Раньше чиповые карты считались гораздо более защищенными, чем карты с магнитной полосой. Нынешнее открытие ученых из Кембриджа под руководством профессора Росса Андерсона (Ross Anderson) показывает, что даже эти карты не могут считаться неуязвимыми, несмотря на проверку секретного PIN-кода. Подробнее об исследовании новой уязвимости можно прочитать в опубликованной авторами статье.