Сегодня практически все банки предлагают своим клиентам «пластик» с NFC-чипом, позволяющим не проводить карту через магнитный считыватель терминала, а лишь прикладывать его к поверхности устройства. Но как выяснилось, современные технологии не всегда гарантируют безопасность транзакции. Специалистам из Швейцарии удалось найти уязвимое место в работе такого метода и обойти запрос PIN-кода при бесконтактной оплате.

Как правило, в настройках виртуального кабинета банка, выпустившего карту, есть возможность установки лимита на списание сумм без ввода PIN-кода. При попытке бесконтактной оплаты товара, стоимость которого превышает указанное значение, терминал потребует ввести заданную заранее комбинацию цифр.

Но недавно группе учёных удалось найти «дыру» в платёжной системе Visa. Уязвимость позволяет оплачивать покупки с любой стоимостью без ввода пароля по чужой карте. При этом злоумышленник может использовать её, не привлекая к себе внимания, поскольку использует в качестве платёжного средства свой смартфон.

Уловка заключается в том, что для обхода подтверждения пароля необходимы два Android-устройства со специальным программным обеспечением, не требующим root-доступа, а также сама карта Visa. Один гаджет выполняет роль эмулятора терминала, и в момент оплаты запрашивает у карты разрешение на совершение операции. Получив его, другой смартфон оперативно меняет детали транзакции таким образом, что на терминале не высвечивается запрос на ввод PIN-кода. Остаётся поднести смартфон с привязанной картой к терминалу продавца и оплатить покупку.

Работоспособность алгоритма исследователи проверили в реальных магазинах и отправили в Visa отчёт о найденном баге, но пока не получили официального ответа.