API-кардинг 2.0: работа с токенами Google Pay и Apple Pay

Good Carder

Good Carder

Professional
Messages
753
Reaction score
493
Points
63
В 2026 году атаки на токенизированные платежи стали реальностью. Apple Pay и Google Pay, которые долгое время считались неуязвимыми благодаря аппаратной изоляции, начали давать трещины. Ключевая проблема в том, что хрупкость реализаций этих систем для браузера и приложений позволила начать атаки на API, эмуляторы устройств и, в ряде случаев, на сам программный стек Secure Enclave. Это уже не лабораторные эксплойты — это операционные методы, позволяющие перехватывать одноразовые криптограммы, подменять платёжные токены и, в конечном итоге, проводить транзакции по украденным картам.

С каждой успешной попыткой кардер всё глубже проникает в инфраструктуру, превращая защищённые устройства в инструмент для обналичивания.

Часть 1. Архитектура токенизации: как это работает и где лазейка​

Apple Pay и Google Pay выстроены вокруг принципа токенизации: вместо реального номера карты (Funding PAN, FPAN) в память устройства сохраняется уникальный Device Account Number (DPAN).

В момент оплаты устройство генерирует одноразовую криптограмму, используя закрытый ключ, хранящийся в Secure Element (SE) (iPhone) или TrustZone (Android). Этот ключ никогда не покидает процессора безопасности, а сама транзакция подписывается уникальным для каждого платежа токеном.

Криптограмма — это «одноразовая подпись», подтверждающая, что именно это устройство авторизовало платёж. Срок её жизни исчисляется минутами, и попытка повторного использования приведёт к ошибке «cryptogram expired». Для каждого последующего списания по рекуррентным платежам требуется новая авторизация, которая снова генерирует уникальный токен и одноразовый криптографический код.

Для продавца процесс выглядит так: он получает от клиента зашифрованный платёжный токен — контейнер, содержащий DPAN и криптограмму. Продавец не расшифровывает эти данные сам, а пересылает «как есть» своему платёжному шлюзу. Токен, включая DPAN и криптограмму, дешифруется уже на стороне шлюза или процессингового центра, после чего происходит сверка и подтверждение операции. Именно этот слепой проход токена через инфраструктуру продавца и является ключевой уязвимостью.
  • Основные типы токенов: DPAN (Device PAN) — привязан к конкретному устройству; может быть деактивирован при смене устройства или удалении карты. MPAN (Merchant PAN) — не привязан к устройству; подходит для рекуррентных платежей и остаётся активным даже при удалении карты с устройства.
  • Современный подход MPAN (Merchant PAN): Более совершенная форма токена, которая привязывается не к устройству, а к контракту между продавцом, клиентом и платёжной сетью. В контексте массовых атак он удобен для сканирования и повторного использования.

Лазейка для кардера кроется не в прямом взломе SE, а в перехвате сгенерированного токена на уровне приложения, браузера или сетевого подключения. Если атакующий сможет подменить получателя токена или перехватить криптограмму до того, как она достигнет шлюза, он получит возможность проводить транзакции без физического доступа к самому аппаратному модулю. Именно в этой «серой зоне» между генерацией криптограммы и её верификацией и рождаются современные атаки.

Часть 2. Методы перехвата и подмены платёжных токенов в 2026​

2.1. Перехват трафика приложения (MITM и проксирование)​

Это самый простой и доступный метод — настроить перехват трафика через Burp Suite. Идеальный для тестовых сред, где нет жестких проверок сертификатов. Но против защищённых приложений (с шифрованием API и пиннингом) этого уже недостаточно.

Для его реализации нужно:
  1. Запустить Burp Suite на компьютере и настроить прокси-слушатель на порту 8080.
  2. На целевом устройстве (iPhone или эмулятор Android) выставить тот же прокси.
  3. Установить на устройстве сертификат Burp и довериться ему через настройки («Certificate Trust Settings» на iOS).
  4. Запустить приложение банка или платёжного сервиса и отслеживать, как приложение взаимодействует с API токенизации (например, apple-pay-trust/authorize-payment). Приложение, использующее защищённый API, должно отправлять платёжный токен и криптограмму.

Для приложений с продвинутой защитой, использующих SSL-пиннинг и шифрование на уровне сокетов, Burp бессилен. В этом случае в дело вступает Frida — инструмент для динамической инструментации, позволяющий перехватывать криптографические вызовы в рантайме. Скрипт на Frida может перехватывать объект PKPaymentToken, извлекать из него криптограмму ещё до того, как данные будут упакованы в сетевой пакет, и отправлять её кардеру на сервер.

2.2. Перехват токенов на уровне браузера (Apple Pay JS и Google Pay Web API)​

Самый опасный вектор атаки в 2026 году — это подмена JavaScript-событий, обрабатывающих платёжный токен на стороне браузера. Разработчики часто интегрируют Apple Pay на веб-сайты через ApplePaySession, где onpaymentauthorized возвращает весь объект токена, включая криптограмму и DPAN. Кардер, внедривший вредоносный скрипт (например, через XSS-уязвимость), может выполнить подмену обработчика, отправив токен на свой сервер параллельно с легитимной транзакцией.

Важный нюанс: В 2026 году этот метод стал особенно популярен на сайтах магазинов электроники и криптобирж, интегрирующих Google Pay через API «push-токенизации», когда токен возвращается напрямую в коллбэк, а не через защищённый канал продавца.

2.3. Атаки на API-эндпоинты процессинга​

Схема, когда продавец пересылает «сырой» платёжный токен «как есть», оказалась крайне уязвимой. Кардер, перехвативший валидный токен, может отправить его напрямую в API процесса транзакции, заменив данные о цене, получателе или даже стране плательщика. Если валидация криптограммы на сервере не привязана жёстко к сумме и другим деталям контекста, атака увенчается успехом.

Часть 3. Эмуляция Secure Enclave и прямой захват токенов​

Это самая сложная, но технически изощрённая техника, позволяющая вообще отказаться от перехвата сетевых пакетов.

3.1. Эмуляция SE через софтверную прослойку​

Создание программной (эмулированной) копии Secure Element позволяет «обмануть» систему, заставив её поверить, что все криптографические операции (генерация и хранение ключей) выполняются в защищённом аппаратном окружении.

В контексте кардинга это выглядит так: кардер разворачивает модифицированную версию Android или iOS в эмуляторе, где все вызовы к TrustZone (Android) или SEP (iOS) проксируются на его собственный сервер. Функциональность Secure Enclave (SE) полностью эмулируется софтверно. Единственная неуязвимая часть — это хранение уникального идентификатора устройства UID, который зашит в чип.

Чем полезно для кардера? У вас появляется возможность программно генерировать собственные «чистые» платёжные токены для любых карт, привязанных к этому эмулированному «безопасному окружению». Вы контролируете не просто перехват, а сам процесс генерации.

3.2. Direct API Injection через Frida​

Более агрессивный метод, работающий на реальном (джейлбрейкнутом или рутированном) устройстве. Используя Frida, кардер внедряет свой код непосредственно в процесс приложения, перехватывая вызовы к API на уровне ядра. Он может заставить приложение передавать сгенерированный токен не легитимному мерчанту, а подконтрольному кардеру.

Такой подход не требует долгой возни с эмуляцией SE и позволяет атаковать конкретные, уязвимые приложения.

3.3. Деградация безопасности через устаревшие протоколы​

И самая неприятная новость — старая проблема с магнитной полосой всё ещё даёт о себе знать. Уязвимость Express Transit на старых версиях iOS позволяет украсть деньги с заблокированного iPhone через NFC. Эксплойт нацелен на Visa-карты, подключённые в Express Transit Mode. Кардеру достаточно поднести NFC-считыватель к заблокированному телефону. Система интерпретирует запрос как платёж за проезд в метро и, не запрашивая Face ID, генерирует валидную криптограмму.

Но для работы на массу этот метод уже не подходит — большинство устройств получили обновление безопасности.

Часть 4. Реальные кейсы и уязвимости​

4.1. «Malicious npm Packages» (MAL-2026)​

По данным исследования, в npm засветились вредоносные пакеты @apple-pay-trust/authorize-payment (версия 99.0.3) и paysafe-apple-pay (99.99.2).

Они использовали технику typosquatting: неопытные разработчики, копируя код интеграции Apple Pay, случайно устанавливали поддельную библиотеку, вместо легитимной. Вредоносный код, выполняясь на сервере продавца (в Node.js), перехватывал платёжные токены и отправлял их на контролируемый кардерами домен в момент обработки платежа. Жертвой становился не клиент, а сам магазин: его собственная интеграция воровала деньги проходящих через него клиентов.

4.2. Express Transit Attack (CVE-2026)​

В апреле 2026 года была подтверждена критическая уязвимость, позволяющая кардеру снимать деньги с заблокированного iPhone через NFC.

Она нацелена на карты Visa в режиме Express Transit (транспортный). Так как в этом режиме система по умолчанию разрешает бесконтактные платежи без аутентификации, кардеру достаточно поднести модифицированный считыватель к заблокированному телефону, и он получит валидную криптограмму, которую можно использовать для крупных покупок. Уязвимость работает только для карт Visa, так как Mastercard и American Express используют более строгую сегментацию данных для транспортных платежей, что делает их неуязвимыми.

4.3. SEP Exploitation​

Уязвимость Blackbird, раскрытая Pangu Team, затронула чипы A8, A9 и A10. В 2026 году она позволяет выполнять неподписанный код на SEP старых iPhone. Хотя напрямую приватные ключи из SE извлечь нельзя, контроль над SEPROM открывает дорогу для модификации прошивки Secure Enclave и, теоретически, подмены алгоритма генерации платёжных криптограмм или отключения проверок подлинности.

Хотя Blackbird «лечит» только старые чипы, он демонстрирует, что даже аппаратная защита не абсолютна. Эта техника остаётся в руках самых продвинутых исследователей и APT-группировок.

Часть 5. Защита для мерчантов и «блокировка» кошельков для пользователей​

5.1. Для продавца: как не пропустить атаку​

Продавец никогда не должен доверять клиенту. Даже если он прислал валидный платёжный токен.
  1. Жесткая валидация контекста. При создании платёжного токена всегда привязывайте его к уникальным данным транзакции. Hash должен включать сумму, валюту, идентификатор заказа и, желательно, IP-адрес клиента.
  2. Обход доверия к клиентским данным. В 2026 году уже недостаточно просто доверять сумме, переданной в скрипте оплаты. Продавец должен перепроверять итоговую стоимость на своей стороне, а не полагаться на данные, пришедшие в токене.
  3. Контроль цепочки поставок. Тщательно проверяйте все npm-пакеты, связанные с платёжной интеграцией. Скачивайте их только из проверенных источников и анализируйте код.
  4. Используйте токены в двух режимах. Понимайте разницу между DPAN и MPAN. Для разовых онлайн-платежей лучше использовать DPAN, так как он привязан к конкретному устройству и его сложнее подделать массово.
  5. Никогда не храните криптограммы. Обрабатывайте их как одноразовые и уничтожайте сразу после завершения сессии.

Часть 6. Чек-лист: проверяем приложение на «прозрачность» токенов​

Проверьте ваше приложение на уязвимости этого типа:
  1. Burp / MITM. Настроен перехват трафика? Приложение шлёт PKPaymentToken в открытом виде? Видите ли вы JSON с paymentData — дамп криптограммы?
  2. Параметры сессии. Изменяются ли параметры сессии транзакции (сумма) в запросе, не вызывая ошибки верификации криптограммы?
  3. Перехват событий браузера (Web). В браузере через консоль можно подменить onpaymentauthorized и перенаправить токен на свой сервер?
  4. API сервера (backend). Платежный токен отправляется напрямую? Можно подменить эндпоинт или проксировать криптограмму на свой сервер?
  5. Утечка в npm-пакетах. Проверьте все библиотеки, связанные с Apple Pay / Google Pay, на вредоносные версии.
  6. Android Emulation. Приложение генерирует те же самые платёжные токены в эмуляторе Android, что и на реальном устройстве?

Часть 7. Резюме​

Токенизированные платежи больше не являются абсолютной защитой. Apple Pay и Google Pay изменили правила игры, сделав цифровые кошельки популярными, но они же и создали новые уязвимости. В арсенале кардеров в 2026 году есть MITM-перехваты, атаки на npm-пакеты, эмуляция безопасности через софтверные прослойки и даже эксплуатация SEP на старых моделях телефонов.

Главные выводы:
  • Валидный токен — не гарантия безопасности. Современные атаки с перехватом токенов показывают, что даже правильная криптограмма не доказывает подлинность покупателя.
  • SE не святой Грааль. Уязвимости в программной прослойке (SSL, API, интеграция) делают аппаратную защиту частично бесполезной. Более того, на старых устройствах SEP эксплуатируется напрямую.
  • Атаки на уровне API и npm наиболее опасны. Они позволяют кардеру воровать токены у целых тысяч клиентов магазина, а не атаковать каждого по отдельности.

Быстрая памятка на одну строку:
«DPAN живёт в устройстве, но криптограмма рождается в момент платежа. Перехвати криптограмму до шлюза — получи контроль над транзакцией. На npm уже лежат поддельные пакеты Apple Pay, ворующие токены. Express Transit Visa на старых iPhone — дыра в безопасности. Атака на SEP — способ подменить генерацию криптограмм на уровне ядра. В 2026 году борьба идёт не за пластик, а за токен. Захвати токен — захвати деньги»
 
You must log in or register to reply here.

Similar threads

BadB
Tokenization как тюрьма: почему Apple Pay и Google Pay убили кардинг
Replies
0
Views
439
BadB
BadB
Good Carder
Скимминг в эпоху 3DS 2.0: старые методы на новых терминалах
Replies
0
Views
2
Good Carder
Good Carder
Student
Что такое токенизация и как она защищает от кардинга? (Принципы токенизации, её применение в Apple Pay, Google Pay и других системах)
Replies
0
Views
648
Student
Student
Professor
Токенизация и виртуальные карты: как одноразовые номера (PAN) защищают от утечек данных у мерчантов
Replies
0
Views
335
Professor
Professor
Good Carder
Схемы отмывания денег через NFT и крипто-игры (2026)
Replies
0
Views
6
Good Carder
Good Carder
Back
Top