Система прокату велосипедів в Москві вразлива для злому

Літо, спорт, велосипед - ці три слова звучать як заклик добре виглядати, вести здоровий спосіб життя, насолоджуватися швидкістю і веселим спілкуванням з друзями-велосипедистами. Але для клієнтів московських мереж велопроката приємний вечір з друзями в парку міг закінчитися проблемами з банківською картою. На щастя, фахівці «Касперського» вчасно знайшли уразливість в інтерфейсі платіжних терміналів і попередили власників мережі про можливу небезпеку. Літо, спорт, велосипед - ці три слова звучать як заклик добре виглядати, вести здоровий спосіб життя, насолоджуватися швидкістю і веселим спілкуванням з друзями-велосипедистами

У багатьох платіжних терміналах (і, зокрема, в терміналах московської системи велопрокату) використовується операційна система Windows. Відмінність від тих версій цієї ОС, які ми використовуємо на наших комп'ютерах і ноутбуках, полягає в тому, що поверх системи запущено повноекранне додаток, що закриває доступ до стандартного інтерфейсу.

Якщо зловмисник хоче використовувати платіжний термінал в своїх цілях, найочевидніше, що він може зробити, - знайти спосіб, як вивести на екран віртуальну клавіатуру і вийти в Інтернет. І цей спосіб нерідко, на жаль, є.

У нашому випадку через термінал можна було не тільки оплатити послуги велопроката, а й подивитися на «Google Картах», де розташовані найближчі кафе або туалет. На жаль, стандартний віджет Google включає в себе рядок статус-бару. Тут серед іншої інформації (поточний масштаб, авторські права тощо) можна знайти посилання «Повідомити про помилку», «Конфіденційність» і «Умови використання», що відкривають вікно Internet Explorer. Проробивши ще кілька нехитрих маніпуляцій, дослідники отримали доступ до всіх інструментів, необхідним для злому терміналу.

Проробивши ще кілька нехитрих маніпуляцій, дослідники отримали доступ до всіх інструментів, необхідним для злому терміналу

Якби на місці дослідників з «Лабораторії Касперського» були злочинці, то вони могли б як мінімум зібрати базу з перевіреними телефонами і e-mail-адресами клієнтів парковки (найменш шкідливе використання такої бази - продати її для розсилки поштового і SMS-спаму). Злочинці також могли встановити своє ПЗ для збору даних, введених новими користувачами.

Якби зловмисники потребували швидкому припливі коштів, то вони могли б модифікувати платіжний додаток, додавши в нього додаткові поля введення. Зокрема, запросити повні реквізити платіжних карт клієнтів: номер карти, термін дії та CVV2 / CVC2-номер. Багато користувачів не знають, що номер CVV2 / CVC2 не потрібно для здійснення платежу через термінал, і з великою часткою ймовірності необізнана клієнт введе всі ці дані разом з ім'ям, номером телефону і адресою електронної пошти. Оскільки термінали прокату розташовані на вулиці і працюють цілодобово, злочинцям було б нескладно провернути цю операцію без зайвих свідків.

Треба зауважити, що такі маніпуляції не рідкість. зломом банкоматів і торгових терміналів , у тому числі і на промисловому рівні , Займаються і у нас, і за кордоном. Втім, найчастіше саме недбалість користувачів дозволяє зловмисникам викрасти гроші і дані. Щоб захистити себе, не слід нехтувати простими правилами при проведенні фінансових операцій за допомогою терміналів:

  • Не варто вводити повні реквізити своїх платіжних карт, особливо CVV2 / CVC2-номер.
  • По можливості краще оплачувати послуги готівкою.
  • Виявивши підозрілі зміни в інтерфейсі, варто написати в службу підтримки сервісу.