[[383304]]

最近兩天，網(wǎng)絡(luò)安全研究人員披露了一種新的攻擊方式，攻擊者可以欺騙銷售終端，讓其把萬事達(dá)非接觸式卡誤認(rèn)為是Visa卡，從而進行交易。

該研究報告是由蘇黎世聯(lián)邦理工學(xué)院的一群學(xué)者發(fā)表的，該研究報告是建立在去年9月進行的一項詳細(xì)研究的基礎(chǔ)上的，該研究涉及PIN繞過攻擊，使攻擊者可以利用受害者的被盜或丟失的基于EMV技術(shù)的信用卡來發(fā)起攻擊，甚至欺騙終端接受未經(jīng)認(rèn)證的離線卡交易。你可以理解 EMV 是指支持 EMV 技術(shù)的卡和刷卡機，由于EMV 刷卡機總歸要接入到商戶的系統(tǒng)中( POS 機)，其讀取的卡信息會經(jīng)過商戶的系統(tǒng)( POS 機)最后(直接或間接)與銀行通信。

研究人員認(rèn)為銷售終端的這種誤把萬事達(dá)卡當(dāng)做Visa卡的現(xiàn)象不但會造成信用卡管理的混亂，更會帶來嚴(yán)重后果。例如，犯罪分子可以將其與先前對Visa的攻擊結(jié)合使用，從而繞過萬事達(dá)卡的PIN。目前，萬事達(dá)卡被認(rèn)為受PIN保護。另外一個原因是EMV是Europay(Europay后被并入MasterCard組織)、MasterCard、VISA三個信用卡國際組織聯(lián)合制定的銀行芯片卡借記/貸記應(yīng)用的統(tǒng)一技術(shù)標(biāo)準(zhǔn)。

蘇黎世聯(lián)邦理工學(xué)院的研究人員在負(fù)責(zé)任的披露后表示，萬事達(dá)卡目前已在網(wǎng)絡(luò)級別實施了防御機制，以阻止此類攻擊。研究結(jié)果將在今年8月下旬舉行的第30屆USENIX安全研討會上發(fā)表。

信用卡品牌混淆攻擊

就像先前發(fā)生的Visa卡的攻擊一樣，最新研究也利用了之前廣泛使用的EMV非接觸式協(xié)議中的“嚴(yán)重”漏洞，只是這次的目標(biāo)是萬事達(dá)卡。

從高層次上講，這是通過使用Android應(yīng)用程序?qū)崿F(xiàn)的，該應(yīng)用程序在中繼攻擊體系結(jié)構(gòu)之上實現(xiàn)了中間人(MitM)攻擊，從而使該應(yīng)用程序不僅可以在兩端(終端和卡)，還會攔截和操縱NFC(或Wi-Fi)通信，從而惡意地在不同信用卡品牌和支付網(wǎng)絡(luò)之間引入不匹配的情況。

換句話說，如果發(fā)行的卡是Visa或Mastercard品牌的卡，則促進EMV交易所需的授權(quán)請求將路由到相應(yīng)的支付網(wǎng)絡(luò)。付款終端使用所謂的主要帳號(PAN，也稱為卡號)和可唯一識別卡類型(例如萬事達(dá)卡大師或Visa Electron)的應(yīng)用程序標(biāo)識符(AID)的組合來識別品牌，然后利用后者為交易激活特定的內(nèi)核。

EMV內(nèi)核是一組函數(shù)，提供執(zhí)行EMV接觸或非接觸事務(wù)所需的所有必要處理邏輯和數(shù)據(jù)。

目前研究人員將該攻擊稱為“信用卡品牌混淆攻擊(card brand mixup)”，該攻擊利用了以下進程：這些AID并未通過支付終端進行身份驗證，因此有可能欺騙終端以激活有缺陷的內(nèi)核，進而擴展為處理付款的銀行，代表商家接受通過指示不同信用卡品牌的PAN和AID進行的非接觸式交易。

然后，攻擊者會同時在終端上執(zhí)行Visa交易，并在卡上執(zhí)行萬事達(dá)卡的交易。

但是，該攻擊必須滿足許多先決條件才能成功。比如要完成這樣的攻擊，攻擊者首先必須能夠訪問受害者的卡，除了能夠在將終端的命令和卡的響應(yīng)發(fā)送給相應(yīng)的接收者之前，對其進行修改。它不需要具有root權(quán)限或利用Android中的漏洞來使用概念驗證(PoC)應(yīng)用程序。

不過研究人員指出，EMV非接觸式協(xié)議的第二個漏洞可以使攻擊者通過非Visa卡獲得的響應(yīng)中，構(gòu)建Visa協(xié)議指定的所有必要響應(yīng)，包括發(fā)卡機構(gòu)授權(quán)交易所需的加密證明。

蘇黎世聯(lián)邦理工學(xué)院的研究人員表示，使用PoC Android應(yīng)用程序，他們能夠繞過PIN驗證，以進行萬事達(dá)信用卡和借記卡的交易，包括兩張Maestro借記卡和兩張萬事達(dá)信用卡，這些都是由不同的銀行發(fā)行的。針對這個可能的交易，萬事達(dá)信用卡增加了許多安全對策，包括要求金融機構(gòu)在授權(quán)數(shù)據(jù)中包含AID，從而允許發(fā)卡機構(gòu)根據(jù)PAN檢查AID。

此外，該支付網(wǎng)絡(luò)還對授權(quán)請求中出現(xiàn)的其他數(shù)據(jù)點進行了檢查，這些數(shù)據(jù)點可用于識別此類攻擊，在一開始就拒絕欺詐性交易。 

本文翻譯自：https://thehackernews.com/2021/02/new-hack-lets-attackers-bypass.html如若轉(zhuǎn)載，請注明原文地址。