Хакеры научились предугадывать номера новых платежных карт

magspoof-100630162-large

Платежная система American Express, скорее всего, использовала слабый алгоритм генерации новых номеров кредитных карт.

Потому, что хакеры научились предсказывать реквизиты новых платежных инструментов AmEx с помощью специального устройства MagSpoof  и использовать их для совершения платежей в торговых точках.

Устройство величиной с монету разработал известный хакер Сами Камкар. Хакер обнаружил, что номера всех новых карт AmEx имеют связь со старыми платежными инструментами, которые уже уничтожены.

На основе этого открытия разработчик научился предсказывать новый номер платёжной карты, имея данные о старой кредитке. Срок действия также может быть смоделирован на базе даты окончания действия предыдущей карты.

Эффективность формулы расчета номера была подтверждена в эксперименте. Хакер угадал номера всех 40 кредитных карт, которые предоставили для теста его знакомые. Мошенник может использовать реквизиты сразу после того, как пользователь активирует новую карту.

Кроме того, MagSpoof может обмануть платежный терминал с опцией приема чипованных карт. Камкар научился изменять код магнитной ленты карты с микрочипом таким образом, чтобы кассир не требовал вставить ее в терминал и ввести PIN-код, а проводил через магнитный ридер. Само устройство также может выступать как хранилище магнитных лент и передавать их в терминал на бесконтактной основе.

American Express пока не прокомментировала это сообщение. Сам Сами Камкар утверждает, что сообщил в AmEx о ненадежном алгоритме еще в августе, но в компании не придали значения этому заявлению.

Материалы по теме