Обнаружена опасная уязвимость системы защиты банковских карт

Эксперты платежного сервиса ChronoPay обнаружили изъян в протоколе 3D Secure (3DS), который используется для реализации двухфакторной аутентификации при оплате банковскими картами в интернете. Система безопасности была разработана, чтобы защищать владельцев банковских карт от кражи денег, но не информации. Несовершенство позволяет мошенникам вводить покупателей в заблуждение.

По словам Павла Врублевского, генерального директора процессинговой компании ChronoPay, проблема заключается в устаревшей форме запроса на оплату PAReq, в которой содержатся реквизиты получателя платежа. Благодаря тому что в текущей версии 3DS запрос не шифруется криптографически и не проверяется платежной системой, интернет-мошенники получают возможность указать любые данные выгодоприобретателя.

«В сети все больше мошеннических сайтов, которые выдают себя за известных поставщиков услуг, государственные службы или фирменные интернет-магазины. Уязвимость в запросах PAReq протокола 3DS позволяет убедить потребителя в том, что он проводит платеж в пользу определенной организации. Данные на странице подтверждения платежа могут быть подменены», — комментирует Павел Врублевский.

Эксперты по информационной безопасности ChronoPay отмечают, что злоумышленники применяют методы социальной инженерии, чтобы заставить пользователя как можно скорее оформить платеж на их сайте. Найденная уязвимость дает мошенникам возможность убедить покупателя перевести деньги без гарантий получения товара.

Эксперты процессинговой компании рекомендуют оплачивать товары и услуги банковскими картами только на проверенных ресурсах, а вместо перехода по прямым ссылкам из электронных писем самостоятельно находить официальные интернет-магазины в поисковых системах.

В Банке России отметили, что уже ознакомились с ситуацией. По словам представителей регулятора, проблема касалась только некоторых операций. Участники рынка были оперативно информированы об обнаруженной уязвимости. В настоящее время банковское сообщество готовится к переходу на обновленный 3DS 2.0. Эксперты рассчитывают, что в новой версии системы защиты изъян уже будет исправлен.