自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

偷梁換柱:攻擊者將萬事達信用卡轉(zhuǎn)換成Visa卡來盜取資金

作者:gejigeji
安全
最近兩天,網(wǎng)絡(luò)安全研究人員披露了一種新的攻擊方式,攻擊者可以欺騙銷售終端,讓其把萬事達非接觸式卡誤認為是Visa卡,從而進行交易。

[[383304]]

最近兩天,網(wǎng)絡(luò)安全研究人員披露了一種新的攻擊方式,攻擊者可以欺騙銷售終端,讓其把萬事達非接觸式卡誤認為是Visa卡,從而進行交易。

該研究報告是由蘇黎世聯(lián)邦理工學(xué)院的一群學(xué)者發(fā)表的,該研究報告是建立在去年9月進行的一項詳細研究的基礎(chǔ)上的,該研究涉及PIN繞過攻擊,使攻擊者可以利用受害者的被盜或丟失的基于EMV技術(shù)的信用卡來發(fā)起攻擊,甚至欺騙終端接受未經(jīng)認證的離線卡交易。你可以理解 EMV 是指支持 EMV 技術(shù)的卡和刷卡機,由于EMV 刷卡機總歸要接入到商戶的系統(tǒng)中( POS 機),其讀取的卡信息會經(jīng)過商戶的系統(tǒng)( POS 機)最后(直接或間接)與銀行通信。

研究人員認為銷售終端的這種誤把萬事達卡當(dāng)做Visa卡的現(xiàn)象不但會造成信用卡管理的混亂,更會帶來嚴重后果。例如,犯罪分子可以將其與先前對Visa的攻擊結(jié)合使用,從而繞過萬事達卡的PIN。目前,萬事達卡被認為受PIN保護。另外一個原因是EMV是Europay(Europay后被并入MasterCard組織)、MasterCard、VISA三個信用卡國際組織聯(lián)合制定的銀行芯片卡借記/貸記應(yīng)用的統(tǒng)一技術(shù)標準。

蘇黎世聯(lián)邦理工學(xué)院的研究人員在負責(zé)任的披露后表示,萬事達卡目前已在網(wǎng)絡(luò)級別實施了防御機制,以阻止此類攻擊。研究結(jié)果將在今年8月下旬舉行的第30屆USENIX安全研討會上發(fā)表。

信用卡品牌混淆攻擊

就像先前發(fā)生的Visa卡的攻擊一樣,最新研究也利用了之前廣泛使用的EMV非接觸式協(xié)議中的“嚴重”漏洞,只是這次的目標是萬事達卡。

從高層次上講,這是通過使用Android應(yīng)用程序?qū)崿F(xiàn)的,該應(yīng)用程序在中繼攻擊體系結(jié)構(gòu)之上實現(xiàn)了中間人(MitM)攻擊,從而使該應(yīng)用程序不僅可以在兩端(終端和卡),還會攔截和操縱NFC(或Wi-Fi)通信,從而惡意地在不同信用卡品牌和支付網(wǎng)絡(luò)之間引入不匹配的情況。

換句話說,如果發(fā)行的卡是Visa或Mastercard品牌的卡,則促進EMV交易所需的授權(quán)請求將路由到相應(yīng)的支付網(wǎng)絡(luò)。付款終端使用所謂的主要帳號(PAN,也稱為卡號)和可唯一識別卡類型(例如萬事達卡大師或Visa Electron)的應(yīng)用程序標識符(AID)的組合來識別品牌,然后利用后者為交易激活特定的內(nèi)核。

EMV內(nèi)核是一組函數(shù),提供執(zhí)行EMV接觸或非接觸事務(wù)所需的所有必要處理邏輯和數(shù)據(jù)。

目前研究人員將該攻擊稱為“信用卡品牌混淆攻擊(card brand mixup)”,該攻擊利用了以下進程:這些AID并未通過支付終端進行身份驗證,因此有可能欺騙終端以激活有缺陷的內(nèi)核,進而擴展為處理付款的銀行,代表商家接受通過指示不同信用卡品牌的PAN和AID進行的非接觸式交易。

然后,攻擊者會同時在終端上執(zhí)行Visa交易,并在卡上執(zhí)行萬事達卡的交易。

但是,該攻擊必須滿足許多先決條件才能成功。比如要完成這樣的攻擊,攻擊者首先必須能夠訪問受害者的卡,除了能夠在將終端的命令和卡的響應(yīng)發(fā)送給相應(yīng)的接收者之前,對其進行修改。它不需要具有root權(quán)限或利用Android中的漏洞來使用概念驗證(PoC)應(yīng)用程序。

不過研究人員指出,EMV非接觸式協(xié)議的第二個漏洞可以使攻擊者通過非Visa卡獲得的響應(yīng)中,構(gòu)建Visa協(xié)議指定的所有必要響應(yīng),包括發(fā)卡機構(gòu)授權(quán)交易所需的加密證明。

蘇黎世聯(lián)邦理工學(xué)院的研究人員表示,使用PoC Android應(yīng)用程序,他們能夠繞過PIN驗證,以進行萬事達信用卡和借記卡的交易,包括兩張Maestro借記卡和兩張萬事達信用卡,這些都是由不同的銀行發(fā)行的。針對這個可能的交易,萬事達信用卡增加了許多安全對策,包括要求金融機構(gòu)在授權(quán)數(shù)據(jù)中包含AID,從而允許發(fā)卡機構(gòu)根據(jù)PAN檢查AID。

此外,該支付網(wǎng)絡(luò)還對授權(quán)請求中出現(xiàn)的其他數(shù)據(jù)點進行了檢查,這些數(shù)據(jù)點可用于識別此類攻擊,在一開始就拒絕欺詐性交易。 

本文翻譯自:https://thehackernews.com/2021/02/new-hack-lets-attackers-bypass.html如若轉(zhuǎn)載,請注明原文地址。

 

責(zé)任編輯:姜華 來源: 嘶吼網(wǎng)
信用卡Visa網(wǎng)絡(luò)安全
相關(guān)推薦

2010-05-07 10:23:23

安全教訓(xùn)銀行黑客

2021-04-13 11:37:46

信用卡攻擊數(shù)據(jù)泄露

2011-07-05 10:48:54

2014-09-22 10:32:34

2024-12-06 14:58:22

2009-08-03 15:03:24

2010-12-17 10:57:35

2017-04-27 11:09:52

信用卡支付技術(shù)

2021-08-05 06:22:02

惡意軟件Python軟件信用卡

2015-04-21 16:30:47

2012-01-05 15:14:37

2021-12-20 11:10:52

攻擊數(shù)據(jù)泄露網(wǎng)絡(luò)安全

2021-05-06 09:15:30

萬事達加密貨幣數(shù)字資產(chǎn)

2021-04-15 07:43:34

信用卡勒索軟件攻擊

2009-03-30 10:14:30

2018-07-05 14:20:48

信用卡

2012-03-16 10:08:39

Geode指紋掃描器信用卡

2021-08-04 15:11:54

網(wǎng)絡(luò)安全數(shù)據(jù)技術(shù)

2009-03-30 11:02:11

2011-03-25 15:46:49

點贊
收藏

51CTO技術(shù)棧公眾號