Nguyễn Phú Trọng » An ninh Quốc phòng – Biển Đảo » Security Affairs: Phát hiện lỗ hổng mới trong hệ thống thanh toán thẻ tín dụng

(Không gian mạng) - Hai chuyên gia bảo mật người Đức, Karsten Nohl và Fabian Braunlein, vừa phát hiện ra một lỗ hổng mới trong thiết bị thanh toán thẻ tín dụng có thể bị tin tặc khai thác để đánh cắp tiền. Khác với các lỗ hổng trong quá khứ, lỗ hổng này đặt hàng tỷ khách hàng vào nguy cơ bị tin tặc nhắm mục tiêu.

“Các cuộc tấn công trước kia chủ yếu là khai thác lỗi phần mềm, mà bạn thường gặp trên máy tính của mình và chúng có thể được vá lỗi với một bản cập nhật phần mềm”.

Các chuyên gia lần này đã phát hiện ra một loạt các lỗ hổng với thiết bị thanh toán đầu cuối được sử dụng ở Châu Âu có thể cho phép tin tặc để đánh cắp mã PIN và dải từ tính từ thẻ của họ.

Vụ tấn công được thực hiện khi các tin tặc vào được cùng hệ thống mạng không dây.

Vụ tấn công được thực hiện khi các tin tặc vào được cùng hệ thống mạng không dây.

Các chuyên gia đã thử nghiệm trên 5 hệ thống xử lý thanh toán khác nhau cung cấp thiết bị đầu cuối cho các thương gia, các hệ thống được thử nghiệm sử dụng hai mạng khác nhau, cả hai mạng này đều sử dụng cùng một phần mềm back-end.

“Đây là phần mềm duy nhất được sử dụng ở Đức cho mục đích này, vì vậy tất cả mọi người đều bị ảnh hưởng như nhau,” Nohl cho biết.

Các lỗ hổng có thể bị khai thác để buộc bất kỳ thiết bị đầu cuối gửi tiền vào tài khoản ngân hàng ở Đức, nhưng các chuyên gia dự đoán rằng lỗ hổng này có thể ảnh hưởng đến cả hệ thống ở các nước Châu Âu khác.

“Nohl và Bräunlein sẽ đặt ra các cuộc tấn công khác nhau và họ tập trung vào vấn đề với hai giao thức mà các thiết bị thanh toán sử dụng: ZVT và Poseidon. Các giao thức là những ngôn ngữ khác nhau được thiết bị sử dụng để liên lạc với nhau”, theo tờ MotherBoard.

Vụ tấn công được thực hiện khi các tin tặc vào được cùng hệ thống mạng không dây.

“Các công ty phải chịu trách nhiệm về những lỗ hổng bảo mật, bao gồm cả các ngân hàng – họ đã thừa nhận vấn đề này, nhưng họ vẫn lưỡng lự trong việc giải quyết. Họ luôn nói – ‘chưa có gian lận nào xảy ra’, nhưng nó chỉ là vấn đề thời gian”, theo lời giải thích của chuyên gia Karsten Nohl làm việc cho Phòng nghiên cứu Bảo mật tại Berlin. “Hiện tại, những gì chúng tôi đang tấn công là chính các giao thức. Các thiết bị hoạt động chính xác như định sẵn và vẫn dễ bị tổn thương. Vì vậy, đây là một nguy cơ không dễ được giải quyết chỉ với một bản vá. Toàn bộ hệ thống sẽ phải được xem xét lại”.

Nohl giải thích, một kẻ tấn công có thể đánh lừa nạn nhân vào kiểm tra tài khoản của họ trong các lần thanh toán không theo thứ tự để kích hoạt các lỗ hổng. Lỗ hổng này có thể cũng được sử dụng để sao chép thẻ tín dụng.

“Về cơ bản bất cứ cái gì có dải từ tính và một số PIN đều dễ bị tổn thương. Đây là lần đầu tiên chúng tôi tình cờ phát hiện ra một sự khai thác lớn với những vấn đề nghiêm trọng đến thế, và không có một giải pháp sửa chữa rõ ràng”.   

Theo tờ Tagesschau, tổ chức ngân hàng Đức Deutsche Kreditwirtschaft – nơi đã phân tích các kết quả của nghiên cứu được tiến hành bởi các chuyên gia – cho biết hệ thống này vẫn an toàn. Tổ chức khẳng định rằng các cuộc tấn công như các chuyên gia dự doán chỉ hoạt động trong một số điều kiện cụ thể. Tổ chức thương mại điện tử BECN vẫn đang đánh giá kết quả nghiên cứu trên của hai chuyên gia.

Lục Lam (dịch từ securityaffairs.co)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: