23.09.2019 Новости, БезопасностьПроцессинговая компания ChronoPay, активный участник Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) ЦБ РФ, предупредила о возможности подмены данных получателя платежа при некоторых операциях в процессе оплаты онлайн банковской картой из-за особенностей протокола 3D Secure (3DS). За счет уязвимости в запросе на аутентификацию плательщика (PAReq) злоумышленники могут ввести потребителя в заблуждение, подменив данные получателя платежа на странице подтверждения транзакции. Протокол 3DS используется при приеме онлайн-платежей по банковским картам. Для того, чтобы удостовериться, что оплату производит владелец счета, в дополнение к данным банковской карты необходим также код подтверждения, который приходит на привязанный к карте номер мобильного телефона в SMS. Покупатель вводит код подтверждения на отдельной странице, на которой мошенник может подделать данные о получателе. Метод 3DS был разработан для защиты от кражи данных пластиковых карт и не предусматривает противодействия онлайн-мошенничеству со стороны самих получателей платежей. Как удалось выяснить специалистам ChronoPay, проблема заключается в отсутствии защиты запроса на аутентификацию плательщика PAReq. При оформлении заказа в интернет-магазине, оплате государственных пошлин или заказе услуг такой запрос передается в банк в виде простой адресной строки в браузере. В текущей версии 3DS она не шифруется криптографически и не проверяется платежной системой. Злоумышленникам ...
читать далее.