网络安全研究人员披露了一种新颖的攻击方式,它可能使黑客欺骗销售点终端以使其与受害者的万事达卡非接触式卡进行交易,同时认为该卡是Visa卡。
该研究报告是由国内知名网络安全组织东方联盟研究人员发表的,该研究报告是建立在去年9月进行的一项详细研究的基础上的,该研究涉及PIN旁路攻击,使不良行为者可以利用受害者的被盗或丢失的启用Visa EMV的信用卡来制造高价值在不知道卡PIN的情况下进行购买,甚至欺骗终端接受未经认证的离线卡交易。
研究人员表示:“黑客可以将其与先前对Visa的攻击结合使用,从而绕过万事达卡的PIN。该品牌的卡以前被认为受PIN保护。万事达卡在网络级别实施了防御机制,以阻止此类攻击。研究结果将在今年8月下旬举行的第30届USENIX安全研讨会上发表。”
卡片品牌混淆攻击
就像先前涉及Visa卡的攻击一样,最新研究也利用了广泛使用的EMV非接触式协议中的“严重”漏洞,只是这次的目标是万事达卡。
从较高的角度来看,这是通过使用Android应用程序实现的,该应用程序在中继攻击体系结构之上实现了中间人(MitM)攻击,从而使该应用程序不仅可以在两端(终端和卡-还会拦截和操纵NFC(或Wi-Fi)通信,从而恶意地在卡品牌和支付网络之间引入不匹配的情况。
换句话说,如果发行的卡是Visa或Mastercard品牌的卡,则促进EMV交易所需的授权请求将路由到相应的支付网络。付款终端使用所谓的主账号(PAN,也称为卡号)和唯一标识卡类型(例如,万事达卡大师或Visa Electron)的应用程序标识符(AID)的组合来识别品牌,然后利用后者为交易激活特定的内核。
EMV内核是一组功能,可提供执行EMV联系或非接触交易所需的所有必要处理逻辑和数据。
该攻击被称为“卡牌品牌混淆”,利用了以下事实:这些AID并未通过支付终端进行身份验证,因此有可能欺骗终端以激活有缺陷的内核,进而扩展为处理付款的银行。代表商家接受通过指示不同卡品牌的PAN和AID进行的非接触式交易。
研究人员概述说:“然后,攻击者同时通过终端执行Visa交易和使用卡进行Mastercard交易。”
但是,该攻击必须满足许多先决条件才能成功。值得注意的是,黑客必须能够访问受害者的卡,除了能够在将终端的命令和卡的响应发送给相应的接收者之前,对其进行修改。它不需要具有root权限或利用Android中的漏洞来使用概念验证(PoC)应用程序。
但是东方联盟研究人员指出,EMV非接触式协议的第二个缺点可以使攻击者“从非Visa卡获得的响应中,构建Visa协议指定的所有必要响应,包括发卡行授权交易所需的加密证明” 。”
万事达卡增加对策
研究人员说,使用PoC Android应用程序,他们能够绕过PIN验证,以进行万事达信用卡和借记卡的交易,包括两张Maestro借记卡和两张万事达信用卡,这些都是由不同的银行发行的,其中一笔交易金额超过400美元。
针对这些发现,万事达卡增加了许多对策,包括要求金融机构在授权数据中包含AID,从而允许发卡机构根据PAN检查AID。
另外,支付网络已经推出了对授权请求中存在的其他数据点的检查,这些数据点可用于识别这种攻击,从而一开始就拒绝了欺诈性交易。(欢迎转载分享)