Temassız Kredi Kartı Ödemelerindeki Tehlike
Temassız Kredi Kartı Ödemelerindeki Tehlike
Bulunan bir güvenlik açığı, suçluların hedef kredi
kartlarının PIN kodlarını bilmelerine gerek kalmadan temassız kartlardan para
transfer etmelerine izin verebilir.
Zürih’te yer alan Swiss Federal Institute of Technology
içerisinde bulunan bir grup araştırmacı, Visa kartların sahip olduğu temassız
EMV protokolünde saldırganların PIN kodunu bypass edebilecekleri bir zafiyet
tespit ettiler.
Temassız ödeme yaparak gerçekleştirilen alışverişlerde,
genellikle temassız şekilde yapılabilen ödemelerin miktarında bir limitleme
bulunmaktadır. Eğer bu limit aşılırsa, kart sahibinden bir onay istenir ve bu
onay da bir PIN kodu ile sağlanmaktadır.
Ancak, ‘The EMV Standard: Break, Fix, Verify’ başlıklı gerçekleştirilen yeni araştırmanın sonucunda, bir saldırgan bulunmuş olan zafiyetten faydalanarak temassız işlemlerde bulunan limitin aşıldığı durumlarda istenilen PIN koduna gerek kalmadan istediği para miktarını karttan transfer edebileceği tespit edilmiştir.
Akademisyenler Nasıl Gerçekleştiğini Gösterdi!
Akademisyenler, bu saldırının iki Android telefon, bir
temassız kredi kartı ve bu amaç için özel olarak geliştirilen Proof-of-Concept
(PoC) niteliğinde bir Android uygulaması ile nasıl gerçekleştirilebileceğini
gösterdiler.
Ödeme terminalinin yanında bulunan telefon, saldırganın kart
emülatör cihazını, kurbanın kartının yanında bulunan telefon ise POS emülatör
cihazını temsil etmektedir. Saldırganın cihazları birbirleri ile Wi-Fi
üzerinden, kart ile terminal ise NFC üzerinden iletişim kurmaktadır. Ayrıca,
araştırmacılar tarafından geliştirilen bu özel Android uygulamasının da
herhangi bir root yetkisi veya başka özel işlemler gerektirmediği de
belirtilmektedir.
Yapılan saldırı, kart kaynaklı gönderilen -Kart Transfer
Niteleyicisi- bir verinin terminale ulaşmadan önce bu verinin üzerinde
gerçekleştirilen bir modifikasyondan kaynaklanmaktadır. Saldırı esnasında eğer
belirlenen limit aşımı gerçekleşirse bu saldırı ile terminale aşılan limit için
bir PIN kodunun halihazırda kart sahibi tarafından onaylandığı ve başka bir
onaylamanın gerekmediği belirtilmektedir.
Araştırmacılar teoride bu saldırının Discover ve UnionPay protokolleri için de çalışacağını düşünmüş olsalar da henüz bunlar pratikte test edilmedi ve gerçekleştirilen bu PIN bypass demo saldırısını da Mastercard, Visa, American Express, JCB, Discover, UnionPay’e ait altı temassız EMV protokolünden birinde test etti. Akıllı kart ödemesi için uluslararası protokol standardı olan EMV, dünya çapında 9 milyardan fazla kartta kullanılıyor ve Aralık 2019 itibariyle tüm dünyadaki kartlı mevcut işlemlerin% 80’inden fazlasında kullanılmaktadır.
Demo Saldırı Laboratuvarla Sınırlı Kalmadı!
Şundan da bahsetmek gerekir ki bu demo saldırı sadece bir
laboratuvar ortamında test etmekle kalmadı. Aynı zamanda kendi Visa Credit,
Visa Electron ve V Pay kartlarını kullanarak gerçek mağazalarda başarıyla
gerçekleştirilebildi.
Araştırmacılar ek olarak, alışveriş merkezlerindeki
müşteriler artık genellikle işlemlerinin hepsini akıllı telefonlarla
yapıyorlar. Bu tarz bir saldırının da kasiyerler tarafından kolay bir şekilde
fark edilemeyeceğinin de altını çizdiler.
Araştırmacılar ayrıca Visa veya eski bir Mastercard kart
kullanılarak gerçekleştirilen çevrimdışı temassız işlemlerde bulunan başka bir
güvenlik açığını daha ortaya çıkardı. Bu saldırıda ise, kart tarafından
üretilen ve karttan çıkan “İşlem Şifresi”, terminale teslim edilmeden önce
manipülasyona uğramaktadır.
Ancak, bu veri terminal tarafından değil de kartı veren
kurum veya banka tarafından onaylanabiliyor. Bu yüzden saldırganların bu
saldırıda başarılı olma yüzdeleri düşüktür. Araştırmacılar da bu gibi etik
sebeplerden ötürü bu saldırıyı gerçek hayatta denemediklerini
belirtmektedirler.
