ПОСЛЕЗАВТРА
Эксперты рассказали об уязвимостях электронных кошельков
Считается, что к 2026 году свыше 5,3 млрд. людей будет пользоваться электронными кошельками, такими как Apple Pay, Google Pay или PayPal. Несмотря на то, что эти системы мобильных платежей и обеспечивают повышенную безопасность по сравнению с традиционными методами оплаты, они все еще остаются уязвимыми из-за устаревших методов аутентификации и приоритетом удобства над безопасностью. К такому выводу пришли эксперты Массачусетского университета в Амхерсте (США).
«Мы обнаружили, что эти цифровые кошельки небезопасны. Главная причина заключается в том, что они используют безусловное доверие между держателем карты, кошельком и банком», — объясняет исследователь Таки Раза.
Пользование электронным кошельком начинается с ввода номера банковской карты, т.н. первичного идентификатора счета (PAN). При этом личность пользователя, как законного держателя карты, подтверждается дополнительной информацией вроде почтового индекса или последних четырех цифр номера его социального страхования. Затем, при совершении покупки, электронный кошелек вместо PAN высылает продавцу «токен», который тот присоединяет к транзакции и перенаправляет в банк для оплаты. Уже на стороне банка данный токен конвертируется в PAN, после чего и производится оплата. Таким образом продавец никогда не знает первичный идентификатор счета клиента, а работает исключительно с токеном. Проблема тут заключается в том, что в некоторых случаях такие токены могут быть не одноразовыми, генерируемыми только для одной транзакции. В таком случае даже при замене банком карты на новую последняя получает привязку к тому же самому токену. Как результат злоумышленник может продолжать совершать покупки на украденный номер карты, даже если пользователь и заменил ее на новую, поскольку все транзакции проводятся с использованием токена, который остался прежним.
Проведя ряд экспериментов с использованием своих собственных карт, исследователи пришли к выводу, что уязвимости, обозначенные выше, во многом обусловлены приоритетом удобства пользователя в ущерб безопасности. По этой причине эксперты призвали серьезней относится к безопасности своих транзакций, отслеживать любые изменения в электронном кошельке, не отказываться от уведомлений по эл. почте и регулярно проверять через приложение банка список устройств, имеющих привязку к банковским картам.