Многие знают, что Вконтакте есть возможность пополнять баланс банковскими картами. Прием платежей реализован через процессинг Мастер Банка, и на первый взгляд кажется вполне безопасным. Тут протоколы безопасности SSL и Verified by Visa/MasterCard SecureCode, и заявление, что «Любая информация, переданная на данную страницу, безопасна и защищена специальными средствами.» Но, убеждая нас в безопасности протоколов SSL и Visa/MasterCard, Мастер Банк совсем не позаботился о безопасности собственного протокола.
Протокол, посредством которого торговец формирует платежную транзакцию и отправляет ее на Мастер Банк, позволяет подменить параметры в POST запросе и подставить туда любую желаемую информацию. Пользуясь этим, потенциальный мошенник может создать сайт, на котором он предлагает некоторые услуги, возьмем например пополнение счета мобильного телефона. Мошенник заранее генерирует запросы на оплату картой из своего аккаунта Вконтакте, имея тем самым набор валидных значений ORDER.
Далее он на странице пополнения мобильного телефона своего сайта просит клиента ввести номер мобильного телефона, и перенаправляет его на платежную страницу Мастер Банка, подменяя название, описание мерчанта и сумму нужными значениями, чтобы у клиента не возникало сомнений. Пример подмененного POST запроса на платежную страницу Мастер Банка:
Таким образом, кардхолдер будет перенаправлен на страницу ввода реквизитов карты.
Надеясь, что раз он находится на доверенном сайте банка, значит и торговцу можно доверять. Средства, будут списаны со счета кардхолдера, а на счет мошенника Вконтакте будут зачислены голоса. Мошенник услугу пополнения мобильного телефона не предоставляет, голоса Вконтакте тратит на рекламу или другие сервисы.
Уязвимость протестирована, как видно, средства были зачислены на счет Вконтакте.
P.S. информация публикуется естественно, после того, как техподдержка Мастер Банка и Вконтакта были проинформированы об уязвимости. От Вконтакта даже получен комментарий, что факт уязвимости мало, но вероятен.
Протокол, посредством которого торговец формирует платежную транзакцию и отправляет ее на Мастер Банк, позволяет подменить параметры в POST запросе и подставить туда любую желаемую информацию. Пользуясь этим, потенциальный мошенник может создать сайт, на котором он предлагает некоторые услуги, возьмем например пополнение счета мобильного телефона. Мошенник заранее генерирует запросы на оплату картой из своего аккаунта Вконтакте, имея тем самым набор валидных значений ORDER.
Далее он на странице пополнения мобильного телефона своего сайта просит клиента ввести номер мобильного телефона, и перенаправляет его на платежную страницу Мастер Банка, подменяя название, описание мерчанта и сумму нужными значениями, чтобы у клиента не возникало сомнений. Пример подмененного POST запроса на платежную страницу Мастер Банка:
input type='hidden' name='AMOUNT' value='любая_сумма'
input type='hidden' name='CURRENCY' value='RUB'
input type='hidden' name='ORDER' value='сгенерированное_предварительно_значение'
input type='hidden' name='DESC' value='Пополнение мобильного телефона'
input type='hidden' name='MERCH_NAME' value='Интернет магазин онлайн пополнения'
input type='hidden' name='MERCH_URL' value='http//popolni.mobilnik.online.ru'
input type='hidden' name='MERCHANT' value='710000000837464'
input type='hidden' name='TERMINAL' value='71837464'
input type='hidden' name='EMAIL' value=''
input type='hidden' name='TRTYPE' value='0'
input type='hidden' name='COUNTRY' value=''
input type='hidden' name='MERC_GMT' value='3'
input type='hidden' name='TIMESTAMP' value='текущая дата'
input type='hidden' name='BACKREF' value='vk'
Таким образом, кардхолдер будет перенаправлен на страницу ввода реквизитов карты.
Надеясь, что раз он находится на доверенном сайте банка, значит и торговцу можно доверять. Средства, будут списаны со счета кардхолдера, а на счет мошенника Вконтакте будут зачислены голоса. Мошенник услугу пополнения мобильного телефона не предоставляет, голоса Вконтакте тратит на рекламу или другие сервисы.
Уязвимость протестирована, как видно, средства были зачислены на счет Вконтакте.
P.S. информация публикуется естественно, после того, как техподдержка Мастер Банка и Вконтакта были проинформированы об уязвимости. От Вконтакта даже получен комментарий, что факт уязвимости мало, но вероятен.