兩名研究人員在2016美國黒帽大會上(Black Hat USA 2016 )推出了一種新的信用卡中間人攻擊，能夠在POS或ATM上攔截信用卡信息甚至PIN(個人信息認證密碼)和CVV碼(后三碼)。

這兩名來自NCR公司的研究人員(Nir Valtman和Patrick Watson)現場展示了他們的研究成果，讓一臺ATM機15分鐘內吐出了50000美金。

他們曾告誡生產EMV卡芯片的廠商必須給添加額外的保護層防止芯片密碼像之前的磁條卡一樣容易被克隆。但是沒有產商理會他們的建議。

[[169847]]

攻擊同時建立在硬件和軟件之上

在兩名研究員的演示中需要用到一個叫Shimmer的工具，是在ATM上完成中間人攻擊的硬件擔當。犯罪者在ATM機的讀卡器上安裝這塊名為Shimmer的小玩意，當“受害者”把信用卡插進ATM機，ATM機讀卡的同時，Shimmer會將截獲的數據實時傳輸給犯罪者，獲取的信息包括卡號，持卡人姓名，芯片密碼和PIN。隨后犯罪者就能用智能手機下載偷到的數據，偽造一個受害者的信用卡，就能到ATM上去取錢了。

據Tod Beardsley(Rapid7的安全研究經理)向BBC電視透露：

Shimmer是一種掃描EMV卡(Europay、MasterCard和Visa)的設備，能夠輕易地從取款器外部安裝，不需要拆開ATM機。

研究人員介紹說：

由于Shimmer位置隱蔽，很有可能在被害者合法交易的過程中再次截獲到用戶的PIN甚至是CVV(信用卡的安全碼)

[[169848]]

不幸中的萬幸，EMV卡所啟用的交易數據是動態的，這意味著犯罪者必須在一段很短的時間內完成取款(例如一分鐘)。

希望廠商這次能夠重視EMV的芯片問題。

點擊這里下載完整PDF報告。