Специалисты ChronoPay обнаружили уязвимость в карточных транзакциях

Специалисты ChronoPay обнаружили уязвимость в протоколе 3D Secure, позволяющую злоумышленникам подменять данные получателя. Как оказалось, запросы PAReq, используемые для аутентификации плательщиков, вообще не шифруются. При оплате покупок в онлайн-магазинах этот запрос передается кредитной организации в виде адресной строки в веб-обозревателе.
 
Актуальная версия 3DS не предусматривает криптографического шифрования таких запросов. Кроме этого, они не проверяются платежной системой. Таким образом, ничто не мешает мошенникам подменять данные в строке запроса с целью введения плательщика в заблуждение.
 
В Центробанке по этому поводу отметили, что регулятору известно о наличии этой проблемы в протоколе 3DS. ЦБ поставил о ней в известность платежные системы и кредитные организации.
 
Мошеннических ресурсов в интернете становится все больше. Благодаря обнаруженной специалистами ChronoPay уязвимости они без труда могут убедить плательщика в том, что осуществляемый им платеж проводится в пользу определенной компании.
 
В ChronoPay рекомендуют пользователям тщательно проверять адреса онлайн-магазинов, поскольку злоумышленники часто используют похожие адреса. Кроме этого, нельзя совершать покупки по гиперссылкам из электронных писем.