L’essor des applications de portefeuille mobile comme Apple Pay, Google Pay et Samsung Pay a permis aux propriétaires de smartphones de payer plus facilement des biens et des services sans toucher à un terminal de paiement. Mais comme les chercheurs l’ont découvert, certaines incohérences pourraient permettre aux cybercriminels de commettre plus facilement des fraudes sur des appareils volés.
Tim Yunusov, expert senior chez Positive Technologies, affirme que ces incohérences existent spécifiquement dans les paiements sans contact pour les transports publics, comme on le voit dans les principaux systèmes de transport en commun dans des endroits tels que New York et Londres. Yunusov et son équipe de recherche ont pu frauder des appareils, en utilisant des magasins du monde entier, sans que les téléphones ne quittent jamais les poches de leurs propriétaires.
L’équipe explore différents aspects de la sécurité des paiements mobiles depuis des années, mais leur objectif pour cette recherche était de déterminer s’il est possible d’effectuer des paiements sur un téléphone s’il est volé ou perdu, puis récupéré par un fraudeur. Il y a deux ans, alors qu’ils recherchaient des cartes Visa et examinaient de près Google Pay, c’était le seul portefeuille mobile qui permettait le paiement sur des appareils verrouillés, dit Yunusov. Tout le reste nécessitait un code PIN ou une empreinte digitale.
Au cours des deux dernières années, cependant, beaucoup de choses ont changé. L’un des facteurs a été l’utilisation de smartphones pour payer les transports en commun car, comme il le souligne, il n’est pas pratique pour chaque passager de déverrouiller son téléphone avant de passer la barrière. Apple et Samsung ont introduit un système de transport dans lequel les gens n’avaient pas besoin de déverrouiller leur téléphone pour payer un système de transport public.
Cela a rendu Yunusov curieux. Serait-il possible de contourner les mécanismes de sécurité et d’utiliser cette fonctionnalité à des fins frauduleuses ? Les fournisseurs de portefeuilles mobiles prétendent protéger les titulaires de cartes et leurs informations de paiement car ils ne divulguent pas les informations de la carte d’origine, mais il se demande s’il existe un moyen de contourner leurs mesures de protection.
Son intérêt est aggravé par la popularité de la fraude perdue et volée, qui, selon lui, est l’un des types de fraude les plus populaires affectant les cartes de paiement modernes. Dans ces attaques, lorsque les gens perdent un téléphone ou une carte, il y a un vide lorsque la carte n’est pas encore bloquée pendant laquelle les fraudeurs peuvent acheter des biens et des services. Les cartes sans contact et les portefeuilles mobiles EMV modernes, ainsi que leurs prédécesseurs, ne permettent pas de cloner une carte de paiement, ce qui incite les attaquants à les voler.
“Par conséquent, l’objectif principal des fraudeurs serait probablement d’utiliser des appareils ou des cartes volés pour frauder les paiements”, a déclaré Yunusov.
Piratage dans le métro
Mener la recherche « était une sorte de voyage », dit-il. Normalement, l’équipe achète les appareils dont elle a besoin pour faire ses recherches et fait son travail à la maison ou au bureau. Dans ce cas, parce qu’il recherchait des paiements sans contact pour les transports publics, ses recherches l’ont amené à la station de métro de Londres.
“Pour effectuer la plupart des contrôles, je devais personnellement me rendre dans le métro de Londres pratiquement tous les jours, en essayant de collecter toutes les données et de trouver un moyen de contourner les mécanismes de sécurité mis en œuvre dans Apple et Samsung Pay afin de trouver une réponse. à la question », dit-il.
Six mois à un an plus tard, l’équipe a découvert des incohérences dans les paiements sans contact pour les transports publics, ce qui a conduit à une fraude potentielle sur les téléphones portables perdus ou volés. Leurs conclusions concernent spécifiquement Apple et Samsung ; Google Pay n’a pas encore de schéma de transport spécifique.
Yunusov partagera plus de détails sur le processus dans un prochain Conférence Black Hat Europe, “Remettez dans votre poche sans que vous vous en aperceviez : état actuel de la sécurité des portefeuilles mobiles.” L’objectif, dit-il, est de mettre en évidence certains problèmes liés aux paiements sans contact dans l’espoir d’améliorer leur sécurité.
Pour ceux qui utilisent des portefeuilles mobiles, Yunusov conseille de verrouiller toutes les cartes qui y sont attachées dès qu’ils réalisent que leur téléphone est perdu ou volé. Gardez un œil sur ce qui se passe dans les notifications et les transactions et restez vigilant en cas d’activité suspecte.
L’essor des applications de portefeuille mobile comme Apple Pay, Google Pay et Samsung Pay a permis aux propriétaires de smartphones de payer plus facilement des biens et des services sans toucher à un terminal de paiement. Mais comme les chercheurs l’ont découvert, certaines incohérences pourraient permettre aux cybercriminels de commettre plus facilement des fraudes sur des appareils volés.
Tim Yunusov, expert senior chez Positive Technologies, affirme que ces incohérences existent spécifiquement dans les paiements sans contact pour les transports publics, comme on le voit dans les principaux systèmes de transport en commun dans des endroits tels que New York et Londres. Yunusov et son équipe de recherche ont pu frauder des appareils, en utilisant des magasins du monde entier, sans que les téléphones ne quittent jamais les poches de leurs propriétaires.
L’équipe explore différents aspects de la sécurité des paiements mobiles depuis des années, mais leur objectif pour cette recherche était de déterminer s’il est possible d’effectuer des paiements sur un téléphone s’il est volé ou perdu, puis récupéré par un fraudeur. Il y a deux ans, alors qu’ils recherchaient des cartes Visa et examinaient de près Google Pay, c’était le seul portefeuille mobile qui permettait le paiement sur des appareils verrouillés, dit Yunusov. Tout le reste nécessitait un code PIN ou une empreinte digitale.
Au cours des deux dernières années, cependant, beaucoup de choses ont changé. L’un des facteurs a été l’utilisation de smartphones pour payer les transports en commun car, comme il le souligne, il n’est pas pratique pour chaque passager de déverrouiller son téléphone avant de passer la barrière. Apple et Samsung ont introduit un système de transport dans lequel les gens n’avaient pas besoin de déverrouiller leur téléphone pour payer un système de transport public.
Cela a rendu Yunusov curieux. Serait-il possible de contourner les mécanismes de sécurité et d’utiliser cette fonctionnalité à des fins frauduleuses ? Les fournisseurs de portefeuilles mobiles prétendent protéger les titulaires de cartes et leurs informations de paiement car ils ne divulguent pas les informations de la carte d’origine, mais il se demande s’il existe un moyen de contourner leurs mesures de protection.
Son intérêt est aggravé par la popularité de la fraude perdue et volée, qui, selon lui, est l’un des types de fraude les plus populaires affectant les cartes de paiement modernes. Dans ces attaques, lorsque les gens perdent un téléphone ou une carte, il y a un vide lorsque la carte n’est pas encore bloquée pendant laquelle les fraudeurs peuvent acheter des biens et des services. Les cartes sans contact et les portefeuilles mobiles EMV modernes, ainsi que leurs prédécesseurs, ne permettent pas de cloner une carte de paiement, ce qui incite les attaquants à les voler.
“Par conséquent, l’objectif principal des fraudeurs serait probablement d’utiliser des appareils ou des cartes volés pour frauder les paiements”, a déclaré Yunusov.
Piratage dans le métro
Mener la recherche « était une sorte de voyage », dit-il. Normalement, l’équipe achète les appareils dont elle a besoin pour faire ses recherches et fait son travail à la maison ou au bureau. Dans ce cas, parce qu’il recherchait des paiements sans contact pour les transports publics, ses recherches l’ont amené à la station de métro de Londres.
“Pour effectuer la plupart des contrôles, je devais personnellement me rendre dans le métro de Londres pratiquement tous les jours, en essayant de collecter toutes les données et de trouver un moyen de contourner les mécanismes de sécurité mis en œuvre dans Apple et Samsung Pay afin de trouver une réponse. à la question », dit-il.
Six mois à un an plus tard, l’équipe a découvert des incohérences dans les paiements sans contact pour les transports publics, ce qui a conduit à une fraude potentielle sur les téléphones portables perdus ou volés. Leurs conclusions concernent spécifiquement Apple et Samsung ; Google Pay n’a pas encore de schéma de transport spécifique.
Yunusov partagera plus de détails sur le processus dans un prochain Conférence Black Hat Europe, “Remettez dans votre poche sans que vous vous en aperceviez : état actuel de la sécurité des portefeuilles mobiles.” L’objectif, dit-il, est de mettre en évidence certains problèmes liés aux paiements sans contact dans l’espoir d’améliorer leur sécurité.
Pour ceux qui utilisent des portefeuilles mobiles, Yunusov conseille de verrouiller toutes les cartes qui y sont attachées dès qu’ils réalisent que leur téléphone est perdu ou volé. Gardez un œil sur ce qui se passe dans les notifications et les transactions et restez vigilant en cas d’activité suspecte.
— to www.darkreading.com