最近，英國(guó)Newcastle大學(xué)的安全研究員在VISA的非接觸式付款卡中發(fā)現(xiàn)了一個(gè)安全漏洞，利用該漏洞攻擊者只需使用手機(jī)就可以從別人的錢包里偷取大量現(xiàn)金。

非接觸式支付卡使用的是加密芯片(cryptoprocessor)和RFID技術(shù)來進(jìn)行無線支付，而不需要向傳統(tǒng)的付款方式那樣要把銀行卡插進(jìn)讀卡器才能完成付款。一部具有NFC功能的手機(jī)就可以實(shí)現(xiàn)非接觸支付。

在英國(guó)，這種非接觸卡有20英鎊的購(gòu)買額度限制。在購(gòu)物時(shí)，用戶無須輸入PIN密碼而直接刷過即可付款。但是該非接觸式銀行卡中存在一個(gè)漏洞——不能識(shí)別外幣交易，因此網(wǎng)絡(luò)犯罪者可能會(huì)利用這一漏洞進(jìn)行非法轉(zhuǎn)賬，并且非法轉(zhuǎn)賬的金額最高可達(dá)到999,999.99美元。

研究人員在第21屆安全通信和計(jì)算機(jī)會(huì)議上，詳細(xì)介紹了這一攻擊過程：攻擊者通過手機(jī)上安裝的POS終端，預(yù)先設(shè)置好轉(zhuǎn)賬金額，再把手機(jī)靠近受害者的錢包即可進(jìn)行非法轉(zhuǎn)賬。

該項(xiàng)目的首席研究員在研究結(jié)果聲明中稱，攻擊者只需一個(gè)安裝了POS終端的手機(jī)即可完成巨額的轉(zhuǎn)賬，而無需在交易終端進(jìn)行。但專家們擔(dān)心的是，犯罪分子可能會(huì)利用這個(gè)漏洞以小額的方式進(jìn)行轉(zhuǎn)賬，這樣就既可以竊取到錢財(cái)又很難被追查的到。

以上內(nèi)容聽起來很可怕對(duì)吧，但是還有一個(gè)好消息就是該項(xiàng)發(fā)現(xiàn)目前只是處在實(shí)驗(yàn)階段，還沒有應(yīng)用到實(shí)際中去。

據(jù)英國(guó)廣播公司報(bào)道，Visa歐洲聲稱：“我們已經(jīng)審閱了Newcastle大學(xué)調(diào)查結(jié)果，我們會(huì)繼續(xù)專注我們的安全并全力打擊這種欺詐支付手段。另外，這種研究并沒有考慮到Vias有多種保障機(jī)制，該項(xiàng)發(fā)現(xiàn)在實(shí)驗(yàn)室之外是很難完成的。”

Vias歐洲也同時(shí)表示，該公司正在更新保障機(jī)制，并且會(huì)增加在線支付交易身份驗(yàn)證，使得這種攻擊更難進(jìn)行。

原文地址：http://thehackernews.com/2014/11/hackers-can-steal-99999999-from-visa.html