Minimálne tri rôzne modely platobných terminálov možno vložením karty upraviť tak, aby okradli predajcu i zákazníka. V ohrození môžu byť aj ďalšie.
Predviedli to technologickí špecialisti na konferencii Black Hat Security, ktorá sa konala v Las Vegas.
Platobné terminály možno po vložení karty s čipom až do najbližšieho reštartu bez vedomia predajcu a banky upraviť tak, aby plnili pokyny útočníka. Softvér z karty sa načíta do operačnej pamäte, kde prevezme kontrolu nad terminálom.
Kradnú dáta a klamú predajcov
Scenáre útokov sú rôzne. Terminál odobrí každú platbu bez ohľadu na to, či transakcia prebehla. To znamená že obchodník príde o peniaze iba preto, že v priebehu dňa bude terminál prijímať neplatné a nekryté karty s ilúziou skutočnej transakcie.
Iný útok vyzve pokladníka, aby načítal namiesto čipu karty jej magnetický pásik. Jeho obsah uloží v pamäti spolu s PIN kódom, ktorý zákazník naťuká na klávesnici. Pred koncom pracovnej zmeny útočník pri fiktívnej platbe s čipovou kartou zozbiera údaje pre výrobu duplikátov. Je to omnoho praktickejšie, ako so skimerom a kamerou získavať tieto informácie v bankomate.
Zatiaľ iba do vypnutia
Výrobcovia platobné terminály chránia digitálnymi podpismi softvérov, ktoré v nich bežia.
Útočníci preto nenašli spôsob, ako zmeniť ich softvér natrvalo. Každý útok vyžaduje platbu upravenou kartou, ktorá potvrdí transakciu a vloží do operačnej pamäte škodlivý kód.
Informoval o tom server Wired.
