90亿信用卡曝出协议漏洞:黑客无需密码即可盗刷

每次我们使用信用卡/借记卡付款时,收款机都会使用EMV通信协议来处理付款。该协议由Europay,Mastercard和Visa等公司开发,目前在全球超过90亿张卡中使用。

最近,来自苏黎世联邦理工学院计算机科学系的3名研究人员,即David Basin,Ralf Sasse和Jorge Toro-Pozo发现了EMV协议中的漏洞,该漏洞使攻击者可以实施中间人攻击(MITM),进行欺诈性交易。

通过一个模型来模拟商家机器、用户卡和银行的真实情况,研究人员找到2个主要漏洞。首先,他们开发了一个Android应用程序概念验证(POC)漏洞,当用于非接触式支付时,攻击者可以在不使用任何PIN码的情况下进行攻击。

该攻击能够得手的原因是持卡人验证方法中缺少身份验证和加密技术,攻击者可以根据自己的需要修改设置。例如,研究人员还成功进行了这样的交易(下图),价值190美元,可以使用自己的卡在真实商店中进行了现场测试。

第二个漏洞使攻击者诱使商家认为现场的脱机非接触式交易已成功,攻击者离开后才发现该交易已被拒绝。在他们的报告 [PDF]中,研究人员解释说:

…在使用Visa或旧的万事达卡进行的离线非接触式交易中,该卡不会向终端认证应用密码(AC),这使犯罪分子可以欺骗终端以接受未经认证的离线交易。后来,当收单行将交易数据作为清算记录的一部分提交时,发卡行将检测到错误的密码,但罪犯早已得手而去。

综上所述,可以通过直接全局更新终端系统而不是EMV协议本身来修复这2个漏洞。但是,考虑到大约有1.61亿个这样的终端,其中许多位于技术落后的国家,可能需要花费大量时间才能避免此类漏洞被犯罪分子利用。

参考资料:

The EMV Standard:Break,Fix,Verify:https://arxiv.org/pdf/2006.08249.pdf

凡本网站转载的所有的文章、图片、音频、视频文件等资料的版权归版权所有人,如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
推荐产品
PRODUCT
抗D云WAF,DDOS攻击,DDOS流量清洗,高防CDN,CDN防御服务器,CDN防护

抗D云WAF

下一代Web类业务DDoS防御服务,自研云甲DDoS清洗系统,DDoS清洗中心覆盖全球主要国家,千万级CC攻击防御能力,让您的业务固若金汤。

查看详情
云御游戏盾,游戏,游戏盾,直播高防cdn,游戏服务器多少钱,高防主机

云御游戏盾

专为在线游戏打造的终极DDoS防御服务,多种DDoS清洗算法和规则,端云联动,无损清洗DDoS攻击,Anycast近源清洗和加速网络保障游戏丝滑流畅。

查看详情

马上开启您的安全之旅

立即开启