Чтобы избежать необходимости предоставить четырехзначный код, хакеры применяли тип атаки «человек посередине», подразумевающую включение злоумышленника в стандартные бизнес-операции. В этом сценарии использовались два телефона под управлением ОС Android, а также специально разработанное киберпреступниками приложение.
Один из смартфонов в этой схеме играл роль PoS-терминала, другой выполнял функции самой карты. Приложение же заставляло украденную карту начать транзакцию, получало все связанные с ней данные, а потом передавало их в магазин в измененном виде с отсутствующей строкой об удачной проверке пин-кода. Для продавца вся эта схема выглядела как обычная оплата из мобильного приложения.
Исследователи отмечают, что в 2020 году схожая уязвимость была обнаружена в банковских картах Visa. При этом Mastercard устранил проблему, как только швейцарцы о ней сообщили, а вот аналогичных сведений от Visa пока не поступало. О том, скольким мошенникам удалось воспользоваться схемой, ничего не сообщается.
