安全漏洞:允許攻擊者繞過 PIN 驗證進行 Visa 非接觸式付款
該漏洞可能使犯罪分子無需知道PIN的情況下就在信用卡上收取欺詐性費用
來自 ETH Zurich 的一組研究人員發現了Visa的EMV非接觸式協議中的一個安全漏洞,該漏洞可能允許攻擊者執行PIN旁路攻擊并實施信用卡欺詐。
具體來說,通常您可以使用非接觸式卡購買商品或服務的金額通常是有限制的。一旦超過限制,卡終端將要求持卡人進行驗證-輸入PIN。
但是,這項名為“The EMV Standard: Break, Fix, Verify” 的新研究表明,可以使用信用卡的罪犯可以利用這種欺詐手段進行欺詐性購買,即使在以下情況下也無需輸入PIN:數量超出限制。
學者們演示了如何使用兩款Android手機,非接觸式信用卡和專門為此目的開發的概念驗證Android應用程序進行攻擊。
“付款終端附近的電話是攻擊者的Card仿真器設備,受害者卡附近的電話是攻擊者的POS仿真器設備。攻擊者的設備通過WiFi相互通信,并通過NFC與終端和卡通信。”研究人員解釋說,并補充說,他們的應用不需要任何特殊的root特權或Android hack即可工作。
“攻擊包括在將其發送到終端之前對來源于銀行卡的數據對象(銀行卡交易限定符)進行修改”讀取攻擊的說明中,修改后的終端指示不需要PIN驗證,并且持卡人已經被消費者的設備驗證過。
研究人員在六個EMV非接觸式協議之一(Mastercard, Visa, American Express, JCB, Discover, UnionPay)上測試了他們的PIN旁路攻擊;但是,他們理論認為它也可以應用于Discover和UnionPay協議,盡管這些協議尚未經過實際測試。EMV是智能卡支付的國際協議標準,已在全球超過90億張卡中使用,截至2019年12月,它已在全球所有卡存在交易中的80%以上使用。
值得一提的是,研究人員不僅在實驗室條件下測試了攻擊,而且能夠使用Visa Credit,Visa Electron和V Pay卡在實際商店中成功進行攻擊。可以肯定的是,他們使用自己的卡進行測試。
該團隊還指出,由于顧客用智能手機付款已成為家常便飯,收銀員很難察覺出正在發生的事情。
研究還發現了另一個漏洞,該漏洞涉及由 Visa 或 old Mastercard card進行的離線非接觸式交易。在此攻擊期間,網絡罪犯修改了被稱為“交易密碼”的卡片生成數據,然后將其發送到終端。
但是,該數據不能由終端驗證,而只能由發卡機構(即銀行)驗證。因此,在發生這種情況的時候,騙子手頭上的貨物早已風起云涌。由于道德原因,該團隊未在實際終端上測試此攻擊。
