偷梁换柱:攻击者将万事达信用卡转换成Visa卡来盗取资金

[[383304]]

最近两天,网络安全研究人员披露了一种新的攻击方式,攻击者可以欺骗销售终端,让其把万事达非接触式卡误认为是Visa卡,从而进行交易。

该研究报告是由苏黎世联邦理工学院的一群学者发表的,该研究报告是建立在去年9月进行的一项详细研究的基础上的,该研究涉及PIN绕过攻击,使攻击者可以利用受害者的被盗或丢失的基于EMV技术的信用卡来发起攻击,甚至欺骗终端接受未经认证的离线卡交易。你可以理解 EMV 是指支持 EMV 技术的卡和刷卡机,由于EMV 刷卡机总归要接入到商户的系统中( POS 机),其读取的卡信息会经过商户的系统( POS 机)最后(直接或间接)与银行通信。

研究人员认为销售终端的这种误把万事达卡当做Visa卡的现象不但会造成信用卡管理的混乱,更会带来严重后果。例如,犯罪分子可以将其与先前对Visa的攻击结合使用,从而绕过万事达卡的PIN。目前,万事达卡被认为受PIN保护。另外一个原因是EMV是Europay(Europay后被并入MasterCard组织)、MasterCard、VISA三个信用卡国际组织联合制定的银行芯片卡借记/贷记应用的统一技术标准。

苏黎世联邦理工学院的研究人员在负责任的披露后表示,万事达卡目前已在网络级别实施了防御机制,以阻止此类攻击。研究结果将在今年8月下旬举行的第30届USENIX安全研讨会上发表。

信用卡品牌混淆攻击

就像先前发生的Visa卡的攻击一样,最新研究也利用了之前广泛使用的EMV非接触式协议中的“严重”漏洞,只是这次的目标是万事达卡。

从高层次上讲,这是通过使用Android应用程序实现的,该应用程序在中继攻击体系结构之上实现了中间人(MitM)攻击,从而使该应用程序不仅可以在两端(终端和卡),还会拦截和操纵NFC(或Wi-Fi)通信,从而恶意地在不同信用卡品牌和支付网络之间引入不匹配的情况。

换句话说,如果发行的卡是Visa或Mastercard品牌的卡,则促进EMV交易所需的授权请求将路由到相应的支付网络。付款终端使用所谓的主要帐号(PAN,也称为卡号)和可唯一识别卡类型(例如万事达卡大师或Visa Electron)的应用程序标识符(AID)的组合来识别品牌,然后利用后者为交易激活特定的内核。

EMV内核是一组函数,提供执行EMV接触或非接触事务所需的所有必要处理逻辑和数据。

目前研究人员将该攻击称为“信用卡品牌混淆攻击(card brand mixup)”,该攻击利用了以下进程:这些AID并未通过支付终端进行身份验证,因此有可能欺骗终端以激活有缺陷的内核,进而扩展为处理付款的银行,代表商家接受通过指示不同信用卡品牌的PAN和AID进行的非接触式交易。

然后,攻击者会同时在终端上执行Visa交易,并在卡上执行万事达卡的交易。

但是,该攻击必须满足许多先决条件才能成功。比如要完成这样的攻击,攻击者首先必须能够访问受害者的卡,除了能够在将终端的命令和卡的响应发送给相应的接收者之前,对其进行修改。它不需要具有root权限或利用Android中的漏洞来使用概念验证(PoC)应用程序。

不过研究人员指出,EMV非接触式协议的第二个漏洞可以使攻击者通过非Visa卡获得的响应中,构建Visa协议指定的所有必要响应,包括发卡机构授权交易所需的加密证明。

苏黎世联邦理工学院的研究人员表示,使用PoC Android应用程序,他们能够绕过PIN验证,以进行万事达信用卡和借记卡的交易,包括两张Maestro借记卡和两张万事达信用卡,这些都是由不同的银行发行的。针对这个可能的交易,万事达信用卡增加了许多安全对策,包括要求金融机构在授权数据中包含AID,从而允许发卡机构根据PAN检查AID。

此外,该支付网络还对授权请求中出现的其他数据点进行了检查,这些数据点可用于识别此类攻击,在一开始就拒绝欺诈性交易。 

本文翻译自:https://thehackernews.com/2021/02/new-hack-lets-attackers-bypass.html如若转载,请注明原文地址。

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/149430.html<

(0)
管理的头像管理
上一篇2025-03-12 14:55
下一篇 2025-03-12 14:57

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注