想象一下，你丟失了信用卡，并從銀行申請了一張新的信用卡。但是，如果在你收到這張新卡之前，一些網(wǎng)絡罪犯就已經(jīng)在使用你的新信用卡，此時你作何感想?是的，這完全是可以實現(xiàn)的，至少使用這個僅僅10美元的設備MagSpoof就能夠做到。

信用卡號碼預測和竊取利器MagSpoof

硬件黑客Samy Kamkar已經(jīng)搭建了一個成本10美元的設備，它可以預測并存儲成百上千個美國運通信用卡號碼，并允許任何人使用它進行無線支付交易，即使是在非無線終端上。

這個設備名為MagSpoof，根據(jù)一個注銷的信用卡的號碼以及請求辦理新卡的時間，它能夠猜測下一個信用卡號碼和新的過期日期。這個過程不需要三位或四位的數(shù)CVV號碼，CVV號碼通常印制在信用卡的背面。

這個小工具將是信用卡詐騙犯的夢想利器，利用該工具他們能從偷來的信用卡盜取現(xiàn)金，即使這些信用卡已經(jīng)被它真正的主人注銷掉。

[[157752]]

MagSpoof是什么?

MagSpoof是一種設備，針對美國運通信用卡，它具有以下功能：

1、通過無線方式欺騙任何磁條或信用卡，即使是標準的磁卡或信用卡讀卡器;

2、禁用芯片和PIN(EMV)保護;

3、切換不同的信用卡;

4、準確地預測信用卡號碼和有效期。

[[157753]]

MagSpoof是如何工作的?

MagSpoof的無線功能是通過發(fā)射一種強大的“電磁場”來實現(xiàn)的，這種電磁場能夠模擬一種傳統(tǒng)的磁條卡，讓其看起來好像是通過物理接觸方式被刷的。Kamkar在它的博客中說道：

“令人難以置信的是，磁條讀卡器不需要任何形式的無線接收器、RFID或NFC，因為MagSpoof是以無線方式工作的，即使是標準的條碼讀卡器。你可以將它放到任何傳統(tǒng)的POS系統(tǒng)上，那么它將會認為正在刷一張卡。”

在丟失一張美國運通信用卡后，Kamkar注意到更換的新卡的號碼似乎與之前的三張美國運通信用卡有一定的關(guān)系。Kamkar記錄了所有的號碼，并制定了一個全局模式(global pattern)，這種模式使他能夠準確地預測20張美國運通卡和更換卡的號碼，這些號碼都是他們朋友提供來供他研究的。

視頻演示

可以觀看下面的視頻來了解整個攻擊過程。

Kamkar還提供了必要的代碼，可以從Github上下載，按照這里的指令來構(gòu)建自己的MagSpoof設備，但是這份代碼有所改變，因為Kamkar刪除了禁用EMV的功能代碼，并且還未公布美國運通卡號預測算法。想要深入探索MagSpoof，那么請閱讀Kamkar發(fā)布的博客全文。

美國運通已收到該問題的報告，并聲稱公司正在修復該漏洞。