Kiwicon犯罪者は、デバイスの認証チェックが弱く、侵入可能なため、支払いガジェット Coin を使用して、新たに発見したステルス性で盗んだクレジットカードを空にすることができます。
オーストラリアのメルボルン在住のハッカー、ピーター・フィルモア(@typhoonfilsy)氏は、コインの脆弱な認証方式は中間者攻撃によって操作され、詐欺師が盗まれたカードを読み込み検証できることを発見した。
フィルモア氏が指摘するように、盗まれたカードはRescatorのような犯罪サイトから簡単に購入できます。そして、Coinにチャージして認証すれば、小売店で使用できます。
これは詐欺師にとっても目立たない手法である。なぜなら、怪しい可能性のあるクレジットカードを自分で作る必要がなくなり、代わりにこのガジェットにすでに精通している米国の小売店でコインを利用できるからだ。
コイン・セキュリティーの責任者兼最高執行責任者のラッセル・タガ氏は、同社が攻撃を調査中だと語った。
「コイン社が皆さんが共有している情報について知るのは今回が初めてなので、全面的に回答する前にもっと情報が必要です」とタガ氏はVulture Southに語った。
フィルモア氏によると、修正にはCoinの認証メカニズムを従来の決済端末で使用されているものに近づけるための大規模な改修が必要になるという。これは時間と費用のかかる修正であり、彼のハッキングとは大きく異なる。フィルモア氏によると、ハッキングを発見して報告するまでに半日しかかからなかったという。
ピーター・フィルモア。写真:ダレン・パウリ/ザ・レジスター
決済カードと詐欺の専門家は、金曜日にウェリントンで開催される Kiwicon カンファレンスでの講演に先立ち、 Vulture Southに対し、期限切れのクレジットカードや、まだ発行されていないアメリカン・エキスプレス カード (先週詳述した別のハッキングによる) を Coin に読み込むことも可能だと語った。
フィルモア氏によると、ハッキングが可能なのは、CoinがStripeに送る認証リクエストが傍受・改ざん可能であるためだという。これにより、攻撃者は盗難または期限切れのクレジットカード、あるいはまだ発行されていないアメリカン・エキスプレスカードをCoinに読み込み、認証チェックを盗み取って改ざんすることで、不正なカード情報を詐欺師が所有するカード情報に置き換えることができる。
その後、Stripe は詐欺師のカード詳細を確認し、Coin が盗難カードまたは期限切れカードに適用する承認済みトークンを発行します。
「盗まれたカードデータを入力し、中間者プロキシを介せば、その詳細が有効なカード、例えばプリペイドカードに変更され、例えば1ドルの請求チェックが行われます」とフィルモア氏は言う。
「Stripeはクレジットカード情報をどのように送信するかを気にしません。有効なクレジットカードであれば、有効なトークンが返送されます。Coinを使う犯罪者にとっては、本物に見えるクレジットカードを作成する必要がないため、はるかに簡単です。」
攻撃者はCoinアプリのデータベースを直接編集し、デバイスが不正なクレジットカードを受け付けるようにすることも可能です。そうすれば、Stripeの認証チェックは不要になります。
「Coinは認証チェックを行っていると主張しているが、実際はそうではない。ローカルデータベースを信頼しているのだ」と彼は言う。機内モードに設定された携帯電話で実行可能なローカルハッキングは、フィルモアが今回の手軽で悪質な攻撃に割り当てた時間よりも、開発に時間がかかる。
攻撃者は暗号化キーを解読する必要があるが、それは可能だと彼は言う。
フィルモア氏は、コインや類似のデバイスが詐欺師にとっての資産となることを長年考えてきたと述べている。コインは、ポイントツーポイント暗号化のような高価で実績のある認証方式を採用するよう、大幅な再設計が必要だと彼は述べている。
「Coin社は膨大な作業なしにはこれを修正できません。カードの正当性を保証するために、独自の認証サービスを構築する必要があります。」®
YouTubeビデオ
