Исследователь безопасности обнаружил новый способ взлома банкомата — при помощи смартфона и ошибок в системе NFC. Одним взмахом телефона можно снять наличку, взломать терминал оплаты, заблокировать его и даже изменить стоимость транзакций. При этом, важно отметить, что уязвимости, которые позволяют провернуть такой трюк, есть практически во всех терминалах и банкоматах по всему миру.

Исследователь безопасности Хосеп Родригес создал приложение для Android, которое позволяет его смартфону использовать обнаруженные им недостатки в прошивке системы NFC, которая дает возможность обмена данными между устройствами на близком расстоянии, сообщает портал Wired.

С помощью технологии NFC для проведения платежа или вывода денег из банкомата не нужно вставлять карту — достаточно просто приложить ее или телефон к считывателю. Технология получила широкое распространение и работает почти во всех торговых точках по всему миру.

Благодаря найденным в этой системе ошибкам Родригес может взламывать POS-терминалы, а также использовать их для сбора и передачи данных кредитных карт, незаметного изменения стоимости транзакций, полной блокировки устройства и отображения на его экране любого сообщения.

«Вы можете поменять прошивку терминала оплаты, изменить цену, отключить его или установить туда программу-вымогатель. Возможностей более чем достаточно», — говорит Родригес.

Также Родригес заявил, что может заставить некоторые банкоматы выдавать ему наличные деньги — такой способ воровства он назвал «джекпотинг».

«Выстроив цепочку атак, а также отправив специальную полезную нагрузку на компьютер банкомата, вы сможете снять деньги с банкомата, как джекпот, просто проведя телефоном над NFC-считывателем», — отмечает исследователь.

Однако это работает лишь в сочетании с дополнительными ошибками, которые он обнаружил в программном обеспечении банкоматов. Раскрывать подробности об уязвимостях он отказался из-за соглашений о неразглашении.

В качестве демонстрации Родригес поделился двумя видеозаписями с Wired. В одном ролике он держит смартфон над считывателем NFC POS-терминала, и выводит на экран сообщение об ошибке, ломая сканер, а во втором обналичивает деньги с банкомата.

По словам исследователя, год назад он предупредил об ошибках компании, занимающиеся установкой банкоматов и POS-терминалов, в их число вошли ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPO и Nexgo.

Однако миллионы устройств по всему миру все еще находятся в опасности, так как для установки обновления безопасности нужен физический доступ к терминалу или банкомату.

Это означает, что многие из этих устройств, вероятно, так и останутся уязвимыми. 

«Физическое исправление сотен тысяч банкоматов потребует очень много времени»,— отмечает Родригес.

Ранее исследователи кибербезопасности обнаружили критические уязвимости в мобильных терминалах — они позволяли злоумышленникам получить доступ к данным кредитных и дебетовых карт, с которых оплачивались покупки.