安全漏洞:允许攻击者绕过 PIN 验证进行 Visa 非接触式付款
该漏洞可能使犯罪分子无需知道PIN的情况下就在信用卡上收取欺诈性费用
来自 ETH Zurich 的一组研究人员发现了Visa的EMV非接触式协议中的一个安全漏洞,该漏洞可能允许攻击者执行PIN旁路攻击并实施信用卡欺诈。
具体来说,通常您可以使用非接触式卡购买商品或服务的金额通常是有限制的。一旦超过限制,卡终端将要求持卡人进行验证-输入PIN。
但是,这项名为“The EMV Standard: Break, Fix, Verify” 的新研究表明,可以使用信用卡的罪犯可以利用这种欺诈手段进行欺诈性购买,即使在以下情况下也无需输入PIN:数量超出限制。
学者们演示了如何使用两款Android手机,非接触式信用卡和专门为此目的开发的概念验证Android应用程序进行攻击。
“付款终端附近的电话是攻击者的Card仿真器设备,受害者卡附近的电话是攻击者的POS仿真器设备。攻击者的设备通过WiFi相互通信,并通过NFC与终端和卡通信。”研究人员解释说,并补充说,他们的应用不需要任何特殊的root特权或Android hack即可工作。
“攻击包括在将其发送到终端之前对来源于银行卡的数据对象(银行卡交易限定符)进行修改”读取攻击的说明中,修改后的终端指示不需要PIN验证,并且持卡人已经被消费者的设备验证过。
研究人员在六个EMV非接触式协议之一(Mastercard, Visa, American Express, JCB, Discover, UnionPay)上测试了他们的PIN旁路攻击;但是,他们理论认为它也可以应用于Discover和UnionPay协议,尽管这些协议尚未经过实际测试。EMV是智能卡支付的国际协议标准,已在全球超过90亿张卡中使用,截至2019年12月,它已在全球所有卡存在交易中的80%以上使用。
值得一提的是,研究人员不仅在实验室条件下测试了攻击,而且能够使用Visa Credit,Visa Electron和V Pay卡在实际商店中成功进行攻击。可以肯定的是,他们使用自己的卡进行测试。
该团队还指出,由于顾客用智能手机付款已成为家常便饭,收银员很难察觉出正在发生的事情。
研究还发现了另一个漏洞,该漏洞涉及由 Visa 或 old Mastercard card进行的离线非接触式交易。在此攻击期间,网络罪犯修改了被称为“交易密码”的卡片生成数据,然后将其发送到终端。
但是,该数据不能由终端验证,而只能由发卡机构(即银行)验证。因此,在发生这种情况的时候,骗子手头上的货物早已风起云涌。由于道德原因,该团队未在实际终端上测试此攻击。
