Компания ChronoPay обнаружила уязвимость при оплатах банковскими картами онлайн

Смотрите в каталоге
Агрегаторы и платежные шлюзы

Процессинговая компания ChronoPay, активный участник Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) ЦБ РФ, предупреждает о возможности подмены данных получателя платежа при некоторых операциях в процессе оплаты онлайн банковской картой из-за особенностей протокола 3D Secure (3DS). За счет уязвимости в запросе на аутентификацию плательщика (PAReq) злоумышленники могут ввести потребителя в заблуждение, подменив данные получателя платежа на странице подтверждения транзакции.

Протокол 3DS используется при приеме онлайн-платежей по банковским картам. Для того, чтобы удостовериться, что оплату производит владелец счета, в дополнение к данным банковской карты необходим также код подтверждения, который приходит на привязанный к карте номер мобильного телефона в SMS. Покупатель вводит код подтверждения на отдельной странице, на которой мошенник может подделать данные о получателе. Метод 3DS был разработан для защиты от кражи данных пластиковых карт и не предусматривает противодействия онлайн-мошенничеству со стороны самих получателей платежей.

Как удалось выяснить специалистам ChronoPay, проблема заключается в отсутствии защиты запроса на аутентификацию плательщика PAReq. При оформлении заказа в интернет-магазине, оплате государственных пошлин или заказе услуг такой запрос передается в банк в виде простой адресной строки в браузере. В текущей версии 3DS она не шифруется криптографически и не проверяется платежной системой. Злоумышленникам не сложно подменить любые данные в строке запроса и ввести покупателя в заблуждение на странице подтверждения платежа.

«Банк России в курсе данной ситуации. Она касалась лишь узкого круга операций. Мы уведомили о ней банки и платежные системы», — сообщили в пресс-службе Банка России.

«В сети все больше мошеннических сайтов, которые выдают себя за известных поставщиков услуг, государственные службы или фирменные интернет-магазины. Уязвимость в запросах PAReq протокола 3DS позволяет убедить потребителя в том, что он проводит платеж в пользу определенной организации. Данные на странице подтверждения платежа могут быть подменены. Мошенники активно используют методы социальной инженерии, убеждая клиента как можно быстрее совершить платеж на их сайте. Мы рекомендуем пользователям быть предельно внимательными при проведении онлайн-платежей», — отмечает Павел Врублевский, генеральный директор процессинговой компании ChronoPay.

Чтобы обезопасить себя от мошенничества потребителям стоит проявлять дополнительную бдительность. Эксперты по безопасности ChronoPay рекомендуют:

  • Проверять адрес интернет-магазина, в котором вы собираетесь совершить покупку (мошенники часто выбирают похожие адреса). Особенно если сайт пестрит распродажами, которые заканчиваются через несколько минут.
  • Не совершать покупки по ссылкам из писем электронной почты — вместо этого самостоятельно находить легитимный сайт в поисковой системе.

Информация о данной уязвимости была передана представителям ФинЦЕРТ. Специалисты рассчитывают, что уязвимость будет исправлена в новой версии 3DS 2.0, переход на которую ожидается в ближайшее время. Пока же эксперты из ChronoPay рекомендуют плательщикам быть внимательными при совершении операций онлайн-оплаты.

Компании и сервисы: ChronoPay
Автор: Анна

Подписаться на новости

18 февраля / Комментарии

Тинькофф запустил Тинькофф Кассу – сервис платежей для бизнеса

Тинькофф запустил Тинькофф Кассу — сервис онлайн и офлайн-платежей для юридических лиц. Тинькофф Касса будет работать для компаний по принципу одного окна — с помощью одного сервиса банка можно закрыть все вопросы по работе бизнеса с финансами в онлайне и офлайне.

далее →

16 февраля / Комментарии

Интернет-магазин Ozon учредил собственную микрофинансовую компанию

Интернет-магазин Ozon учредил микрокредитную компанию, следует из данных СПАРК. ООО МКК «Озон Кредит» зарегистрировано в понедельник, 15 февраля. Уставный капитал компании составляет 1 млн рублей. Ее учредители — ООО «Озон Холдинг» и ООО «Интернет Решения».

далее →

16 февраля / Комментарии

Тинькофф Банк запланировал запуск платежного сервиса Tinkoff Pay

Тинькофф Банк подал заявки на регистрацию товарных знаков Tinkoff Pay и «Tinkoff Касса», сообщил VTimes со ссылкой на реестр заявок на регистрацию патентов и товарных знаков. Представитель Тинькофф Банка подтвердил подачу заявок в Роспатент.

далее →

12 февраля / Комментарии

Глава Wildberries Татьяна Бакальчук стала владельцем банка «Стандарт-кредит»

Глава Wildberries Татьяна Бакальчук стала владельцем 100% банка «Стандарт-кредит». Ранее владельцами банка были Александр Синельников (31,9%) и Александр Бадимов (27%). Смена собственников отразилась в системе в четверг, 11 февраля.

далее →

10 февраля / Комментарии

«Яндекс» планирует запустить собственный платёжный сервис Yandex Pay

«Яндекс» работает над созданием сервиса безналичной оплаты Yandex Pay. Упоминания о сервисе, в том числе условия использования, были обнаружены в опубликованных документах компании. Там также отмечается, что сервис не является электронным средством платежа или платежным приложением.

далее →

X
Нажмите «Нравится»,
чтобы читать Shopolog.ru в Facebook