偷梁换柱:攻击者将万事达信用卡转换成Visa卡来盗取资金
最近两天,网络安全研究人员披露了一种新的攻击方式,攻击者可以欺骗销售终端,让其把万事达非接触式卡误认为是Visa卡,从而进行交易。
该研究报告是由苏黎世联邦理工学院的一群学者发表的,该研究报告是建立在去年9月进行的一项详细研究的基础上的,该研究涉及PIN绕过攻击,使攻击者可以利用受害者的被盗或丢失的基于EMV技术的信用卡来发起攻击,甚至欺骗终端接受未经认证的离线卡交易。你可以理解EMV是指支持 EMV 技术的卡和刷卡机,由于EMV 刷卡机总归要接入到商户的系统中( POS 机),其读取的卡信息会经过商户的系统(POS机)最后(直接或间接)与银行通信。
研究人员认为销售终端的这种误把万事达卡当做Visa卡的现象不但会造成信用卡管理的混乱,更会带来严重后果。例如,犯罪分子可以将其与先前对Visa的攻击结合使用,从而绕过万事达卡的PIN。目前,万事达卡被认为受PIN保护。另外一个原因是EMV是Europay(Europay后被并入MasterCard组织)、MasterCard、VISA三个信用卡国际组织联合制定的银行芯片卡借记/贷记应用的统一技术标准。
苏黎世联邦理工学院的研究人员在负责任的披露后表示,万事达卡目前已在网络级别实施了防御机制,以阻止此类攻击。研究结果将在今年8月下旬举行的第30届USENIX安全研讨会上发表。
信用卡品牌混淆攻击
就像先前发生的Visa卡的攻击一样,最新研究也利用了之前广泛使用的EMV非接触式协议中的“严重”漏洞,只是这次的目标是万事达卡。
从高层次上讲,这是通过使用Android应用程序实现的,该应用程序在中继攻击体系结构之上实现了中间人(MitM)攻击,从而使该应用程序不仅可以在两端(终端和卡),还会拦截和操纵NFC(或Wi-Fi)通信,从而恶意地在不同信用卡品牌和支付网络之间引入不匹配的情况。
换句话说,如果发行的卡是Visa或Mastercard品牌的卡,则促进EMV交易所需的授权请求将路由到相应的支付网络。付款终端使用所谓的主要帐号(PAN,也称为卡号)和可唯一识别卡类型(例如万事达卡大师或VisaElectron)的应用程序标识符(AID)的组合来识别品牌,然后利用后者为交易激活特定的内核。
EMV内核是一组函数,提供执行EMV接触或非接触事务所需的所有必要处理逻辑和数据。
目前研究人员将该攻击称为“信用卡品牌混淆攻击(cardbrandmixup)”,该攻击利用了以下进程:这些AID并未通过支付终端进行身份验证,因此有可能欺骗终端以激活有缺陷的内核,进而扩展为处理付款的银行,代表商家接受通过指示不同信用卡品牌的PAN和AID进行的非接触式交易。
然后,攻击者会同时在终端上执行Visa交易,并在卡上执行万事达卡的交易。
但是,该攻击必须满足许多先决条件才能成功。比如要完成这样的攻击,攻击者首先必须能够访问受害者的卡,除了能够在将终端的命令和卡的响应发送给相应的接收者之前,对其进行修改。它不需要具有root权限或利用Android中的漏洞来使用概念验证(PoC)应用程序。
不过研究人员指出,EMV非接触式协议的第二个漏洞可以使攻击者通过非Visa卡获得的响应中,构建Visa协议指定的所有必要响应,包括发卡机构授权交易所需的加密证明。
苏黎世联邦理工学院的研究人员表示,使用PoCAndroid应用程序,他们能够绕过PIN验证,以进行万事达信用卡和借记卡的交易,包括两张Maestro借记卡和两张万事达信用卡,这些都是由不同的银行发行的。针对这个可能的交易,万事达信用卡增加了许多安全对策,包括要求金融机构在授权数据中包含AID,从而允许发卡机构根据PAN检查AID。
此外,该支付网络还对授权请求中出现的其他数据点进行了检查,这些数据点可用于识别此类攻击,在一开始就拒绝欺诈性交易。
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统 Windows10 x64 企业TLSB版2022年7月一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10新雨林木风 Windows10 x86 专业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活系统,无
相关文章
- 如何下载一些网页上无法直接下载的文件
- BBC 推特被黑发布川普中弹假新闻后,出现了这样搞笑的一幕……
- 朝鲜黑客被怀疑是全球勒索病毒幕后黑手
- 恶性病毒冒充安全厂商“北信源”,在杀毒软件面前求放过
- Windows XP源代码泄露,微软把它的Github仓库都删了
- 智能家庭本周锋闻:Mac零成本秒变手势控制
- 鼠标反应慢怎么办?
- 固态硬盘坏了的征兆是什么?
- 龙卷风网络收音机使用图文教程
- 端午佳节,我谨代表黑客给你发来问候和一波攻击……
- SITA称航空客运系统遭遇数据泄露事件
- discuz获取任意管理员密码漏洞利用工具vbs版
- 家庭安全系统所有者更有可能购买智能家庭设备
- 青云 Insight 大会上晒技术,云计算服务有哪些新玩法?
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1番茄花园 Windows 10 极速企业版 版本1903 2021年12月(32位) ISO镜像快速下载
- 2笔记本&台式机专用系统 GhostWin7 32位旗舰版2022年3月(32位) ISO镜像免费下载
- 3电脑公司Ghost Win8.1 X64位 元旦特别 纯净版2020年1月(自动激活) ISO镜像快速下载
- 4深度技术Ghost Win8.1 x32位 特别纯净版2021年9月(免激活) ISO镜像高速下载
- 5雨林木风系统 Ghost XP SP3 元旦特别 装机版 YN2022年1月 ISO镜像高速下载
- 6电脑公司Ghost Win8.1 x32 精选纯净版2022年7月(免激活) ISO镜像高速下载
- 7番茄花园Ghost Win8.1 x64 办公纯净版2019年10月(激活版) ISO镜像高速下载
- 8电脑公司 装机专用系统Windows10 x86企业版2019年10月(32位) ISO镜像快速下载
- 9笔记本系统Ghost Win8.1 (X64) 全新纯净版2021年11月(永久激活) 提供下载
- 10雨林木风 Windows10 x64 企业装机版2018年4月(64位) ISO镜像快速下载