Theo nghiên cứu của công ty an ninh mạng Positive Technologies (có trụ sở chính tại Anh), lỗ hổng được phát hiện có thể cho phép tin tặc vượt qua giới hạn thanh toán của mỗi lần giao dịch trên thẻ Visa mà không cần tiếp xúc với bất kỳ các thiết bị đầu cuối thẻ (card terminal).
Trong thông cáo báo chí ngày 29/7, các nhà nghiên cứu cho biết đã tiến hành kiểm tra lỗ hổng được phát hiện tại 5 ngân hàng lớn của Anh (thực hiện trên thẻ và các thiết bị đầu cuối trong và ngoài lãnh thổ nước Anh). Kết quả cho thấy, kẻ tấn công có thể đánh cắp tài khoản và thay đổi hạn mức thanh toán vượt 100% hạn mức quy định trong mỗi lần giao dịch.
Các cuộc tấn công được thực hiện bằng cách kiểm soát hai trường dữ liệu được trao đổi giữa thẻ và thiết bị đầu cuối thẻ trong giao dịch thanh toán không tiếp xúc. Phần lớn tại Anh, khi thanh toán bằng thẻ, nếu giá trị thanh toán trên 30 bảng, thì cần xác thực bổ sung về chủ thẻ. Nếu việc xác thực không thành công, thẻ sẽ thông báo “Không thể giao dịch” để ngăn chặn việc thanh toán vượt quá giới hạn. Ngoài ra, thiết bị đầu cuối được cấu hình cụ thể theo quốc gia, sẽ yêu cầu thẻ hoặc ví điện tử cung cấp xác thực bổ sung về chủ thẻ, chẳng hạn như thông qua mã PIN của thẻ hoặc xác thực dấu vân tay trên điện thoại.
Lớp kiểm tra này bị qua mặt bằng cách sử dụng một thiết bị hoạt động như một máy chủ proxy chặn bắt liên lạc giữa thiết bị đầu cuối thẻ và thẻ. Phương thức tấn công này được biết đến với tên gọi Người-đứng-giữa (MitM). Các cuộc tấn công MitM cũng có thể được thực hiện bằng cách sử dụng ví điện tử, cho phép tin tặc thanh toán với số tiền lên tới 30 bảng Anh mà không cần mở khóa điện thoại.
Thông cáo cũng cho biết, thiết bị này có thể khiến thẻ không yêu cầu phải xác thực, mặc dù số tiền thanh toán lớn hơn 30 bảng Anh. Thiết bị sẽ báo cho thiết bị đầu cuối thẻ rằng việc xác thực đã được thực hiện bằng một phương thức khác. Hình thức tấn công này là khả thi vì thẻ Visa không yêu cầu nhà phát hành và nơi thanh toán phải kiểm tra những bước xác thực tối thiểu ngay tại chỗ.
Theo ông Tim Yunusov, lãnh đạo bộ phận an ninh ngân hàng của công ty Positive Technologies cho biết, ngành công nghiệp thanh toán cho rằng các thanh toán không tiếp xúc đã được bảo vệ bởi các biện pháp đang được áp dụng, nhưng thực tế là các hoạt động gian lận qua thanh toán không tiếp xúc đang gia tăng. Mặc dù đây là một hình thức gian lận tương đối mới và có thể không phải là ưu tiên số một của các ngân hàng tại thời điểm này, nhưng nếu xác thực giới hạn của thẻ không tiếp xúc có thể dễ dàng bị vượt qua thì sẽ gây thiệt hại nghiêm trọng đối với các ngân hàng và khách hàng của họ.