Massachusetts Amherst Üniversitesi ve Pennsylvania Eyalet Üniversitesi’ndeki bilgisayar mühendisleri, dolandırıcıların çalıntı ödeme kartlarını dijital cüzdan uygulamalarına ekleyebildiğini ve kurbanların kartlarının çalındığını bildirmesinden ve bankanın kartı bloke etmesinden sonra bile çevrimiçi alışveriş yapmaya devam edebildiğini keşfetti.
Kolaylık > güvenlik
Farklı kullanıcılar aynı kartı farklı mobil cihazlardaki farklı dijital cüzdanlara ekleyebilir. Bu özellik, bir kartı bir aile içinde paylaşmayı kolaylaştırmak için vardır ancak kötü niyetli kişiler tarafından kolayca suistimal edilebilir.
Kartın farklı bir cüzdana eklenerek sahte alışveriş yapılması, bankaların dijital cüzdan uygulamalarının güvenlik mekanizmalarına olan güveni sayesinde mümkün hale geliyor.
Bankalar, kartın uygulamaya bağlanmasını yetkilendirmek için kimlik doğrulama şemasını (genellikle daha zayıf, bilgiye dayalı olanı) seçmek için uygulamaya güvenir ve işlemleri yetkilendiren kart sahibini tanımlamak için cihaz içi biyometrik doğrulama yöntemlerine güvenir (ancak telefonun sahibinin kart sahibi olduğu varsayılır).
Son olarak, bankalar kayıp/çalıntı kartlarda bile abonelik tabanlı hizmetler için ödeme yapılmasına izin verir, böylece kart sahibi gecikme ödeme ücretleri/cezaları ödemez. Dolandırıcılar tek seferlik işlemler yapabilir ancak bunu tekrarlayan bir ödeme olarak işaretleyebilir, böylece bankanın işlem yetkilendirme kısıtlamalarını aşabilirler.
“Herhangi bir kötü niyetli aktör, [physical] UMass Amherst’te elektrik ve bilgisayar mühendisliği yardımcı doçenti olan Taqi Raza, “kart numarası kart sahibi gibi davranabilir” diye belirtti. “Dijital cüzdan, kart kullanıcısının kart sahibi olup olmadığını doğrulamak için yeterli mekanizmaya sahip değildir.”
Farklı cüzdanlarda kullanılan kimlik doğrulama yöntemleri (Kaynak: UMass Khwarizmi Lab)
Ek bir dezavantaj olarak, çalınan kart numaraları bir kez dolandırıcının dijital cüzdanına kaydedildiğinde, kart sahibi kartını yenilemek istese ve banka yeni bir kart verse bile orada kalır ve çalışmaya devam eder.
Raza, “Bankalar cüzdanda saklanan kartları yeniden doğrulamaz. Yaptıkları şey, sanal numara eşlemesini yeni fiziksel kart numarasına değiştirmektir,” diye açıkladı. Böylece, hileli satın alımlar gerçekleşmeye devam ediyor.
Bankalara tavsiyeler
Çalınan bir kartı yeni bir cüzdan uygulamasına eklemenin önündeki tek potansiyel engel, kurbanın bu yapılmadan önce kartı kilitlemesidir. Bunun dışında, saldırganlar gizlice, yalnızca kurban tarafından tanınıp itiraz edilebilecek hileli satın alımlar yapabilirler.
Bilim insanları çeşitli senaryoları, ABD’nin önde gelen finans kuruluşları (Chase, AMEX, Bank of America, Discover, US Bank ve Citi) tarafından çıkarılan kartlar ve üç popüler dijital cüzdan uygulaması (Apple Pay, Google Pay ve PayPal) ile test etti.
Bankalara, cüzdanlara kart eklerken cüzdan uygulamalarına ve tercih ettikleri eski kimlik doğrulama yöntemlerine güvenmemelerini tavsiye ettiler. Anlık bildirimler veya parolalar kullanmanızı öneriyorlar.
Bankalar ayrıca cüzdanı periyodik olarak yeniden doğrulamalı ve özellikle kart kaybı gibi olaylardan sonra kendisine verilen ödeme belirtecini yenilemelidir. Ve son olarak, bankalar işlemlerin meta verilerini değerlendirmeli, böylece bir ödemenin tek seferlik mi yoksa tekrarlayan mı olduğunu “görebilirler” (ve bu bilgi için satıcılara güvenmemelidirler).
Araştırmacılar bulgularını söz konusu şirketlerle paylaştı ve bazıları harekete geçti.
“Google, Citi, Chase ve Discover’dan yanıtlar aldık. Bu makaleyi yazdığım sırada Google, Google Pay’de bildirilen sorunları ele almak için bankalarla kendi tarafında çalışıyor,” dediler.
“Ancak bankalar bize ifşa edilen saldırıların artık mümkün olmadığını bildirdi. Chase, bildirilen güvenlik açıklarını gidermek için ek dolandırıcılık tespiti ve işlem sınırlama önlemlerinin uygulandığını doğruladı; ancak Citi ve Discover bize belirli azaltma önlemlerini ifşa etmedi. AMEX, BoA, US Bank, Apple ve PayPal’dan henüz yanıt almadık.”