知名安全網(wǎng)站KrebsOnSecurity最近發(fā)表文章稱�����,基于芯片的信用卡和借記卡的設(shè)計(jì)使得當(dāng)你通過浸入芯片而不是刷卡條進(jìn)行支付時(shí)�����,盜讀設(shè)備或惡意軟件無法克隆你的卡����。但最近針對美國商家的一系列惡意軟件攻擊表明�����,竊賊正在利用一些金融機(jī)構(gòu)實(shí)施該技術(shù)的弱點(diǎn)�����,繞過關(guān)鍵的芯片卡安全功能���,并有效地制造可用的偽造卡�����。
傳統(tǒng)支付卡將持卡人的賬戶數(shù)據(jù)以純文本形式編碼在磁條上�����,這些數(shù)據(jù)可以被竊取設(shè)備或秘密安裝在支付終端上的惡意軟件讀取和記錄�����。然后��,這些數(shù)據(jù)可以用磁條編碼到其他任何東西上�����,并用于進(jìn)行欺詐交易����。
較新的基于芯片的卡使用一種稱為EMV 的技術(shù)來加密存儲在芯片中的帳戶數(shù)據(jù)。該技術(shù)會在每次芯片卡與支持芯片的支付終端交互時(shí)生成一個(gè)獨(dú)特的加密密鑰(稱為令牌或“密碼”)����。
事實(shí)上,所有基于芯片的卡仍然具有許多相同的數(shù)據(jù)�,這些數(shù)據(jù)存儲在卡背面磁條上編碼的芯片中��。這主要是出于向后兼容性的原因,因?yàn)樵S多商家(尤其是美國的商家)仍然沒有完全實(shí)現(xiàn)芯片卡讀卡器�。如果卡的芯片或商家的EMV 終端因某種原因出現(xiàn)故障,這種雙重功能還允許持卡人刷磁條��。
但EMV芯片上存儲的持卡人數(shù)據(jù)與磁條上存在重要區(qū)別�����。其中之一是芯片中的一個(gè)組件�����,稱為集成電路卡驗(yàn)證值����,簡稱“iCVV”���,也稱為“動態(tài)CVV”����。 iCVV 與存儲在物理磁條上的卡驗(yàn)證值(CVV) 不同�,它可以防止磁條數(shù)據(jù)從芯片中復(fù)制并用于制造假冒磁條卡。 iCVV 和CVV 值均獨(dú)立于卡背面清晰印制的三位數(shù)安全碼����,主要用于電子商務(wù)交易或通過電話進(jìn)行卡驗(yàn)證����。
EMV方法的魅力在于�,即使盜刷器或惡意軟件在芯片卡被浸泡時(shí)成功攔截了交易信息,該數(shù)據(jù)也僅對本次交易有效����,不應(yīng)讓竊賊繼續(xù)使用它進(jìn)行欺詐性支付。
然而�����,為了使EMV安全保護(hù)有效����,發(fā)卡金融機(jī)構(gòu)部署的后端系統(tǒng)應(yīng)檢查當(dāng)芯片卡浸入芯片讀卡器時(shí),僅顯示iCVV����;反之,刷卡時(shí)只顯示CVV��。如果這些與交易類型在某些方面不一致�,金融機(jī)構(gòu)應(yīng)拒絕該交易。
問題是,并非所有金融機(jī)構(gòu)都以這種方式正確設(shè)置系統(tǒng)��。毫不奇怪�����,竊賊多年來就知道這個(gè)弱點(diǎn)����。 2017 年���,布萊恩·克雷布斯(Brian Krebs) 撰文介紹了“flickers”日益流行的情況�,這是一種用于攔截芯片卡交易數(shù)據(jù)的高科技銀行卡盜取設(shè)備��。
最近��,Cyber RD Labs 的研究人員發(fā)表了一篇論文��,詳細(xì)介紹了他們?nèi)绾螠y試來自歐洲和美國10 家不同銀行的11 種芯片卡實(shí)現(xiàn)���。研究人員發(fā)現(xiàn)他們可以從其中4 張芯片卡中提取數(shù)據(jù)��。捕獲數(shù)據(jù)并創(chuàng)建克隆磁條卡并成功用于進(jìn)行交易���。
現(xiàn)在有強(qiáng)有力的跡象表明�,銷售點(diǎn)(POS) 惡意軟件正在使用Cyber RD 實(shí)驗(yàn)室詳述的相同方法來捕獲EMV 交易數(shù)據(jù)��,然后將其轉(zhuǎn)售并用于創(chuàng)建芯片的磁條副本-為基礎(chǔ)的卡片���。
本月早些時(shí)候���,全球最大的支付卡網(wǎng)絡(luò)Visa 就最近發(fā)生的一起商戶違規(guī)行為發(fā)布了安全警報(bào),其中已知的POS 惡意軟件家族顯然被修改為針對EMV 芯片POS 終端����。
“EMV 芯片等安全接受技術(shù)的實(shí)施,顯著降低了威脅行為者獲取支付賬戶數(shù)據(jù)的可能性�,因?yàn)榭捎脭?shù)據(jù)僅包括個(gè)人賬號(PAN)、集成電路卡驗(yàn)證值(iCVV) 和有效期日期����,”維薩寫道。 “因此�,只要iCVV 得到正確驗(yàn)證,假冒欺詐的風(fēng)險(xiǎn)就很小�。此外,許多商戶地點(diǎn)都采用了點(diǎn)對點(diǎn)加密(P2PE)�,對PAN數(shù)據(jù)進(jìn)行加密���,進(jìn)一步降低了使用EMV芯片處理的支付賬戶的風(fēng)險(xiǎn)。 ”
Visa 沒有透露受影響商家的名稱��,但美國東北部的連鎖超市Key Food Stores Co-Operative Inc. 似乎也發(fā)生了類似的情況��。 Key Food 最初于2020 年3 月披露了銀行卡數(shù)據(jù)泄露事件�,但兩周前更新了公告,澄清EMV 交易數(shù)據(jù)也被攔截���。
“相關(guān)商店的POS 設(shè)備支持EMV,”Key Food 解釋道����。 “對于這些地點(diǎn)的EMV 交易,我們相信惡意軟件只會發(fā)現(xiàn)卡號和到期日期(而不是持卡人姓名或內(nèi)部驗(yàn)證碼)�。”
雖然Key Food 的聲明在技術(shù)上可能是準(zhǔn)確的�����,但它掩蓋了這樣一個(gè)事實(shí):如果發(fā)卡銀行沒有正確實(shí)施EMV����,欺詐者仍然可以使用被盜的EMV 數(shù)據(jù)來創(chuàng)建磁條版本的EMV�。該卡出現(xiàn)在受感染的商店收銀機(jī)上��。
在此之前����,欺詐情報(bào)公司Gemini Advisory 發(fā)表了一篇博文,提供了有關(guān)近期商家違規(guī)行為(包括Key Food)的更多信息���,其中EMV 交易數(shù)據(jù)被盜�,并最終用于迎合盜刷者的需求�。地下商店出售。
“在這次數(shù)據(jù)泄露中被盜的支付卡已在暗網(wǎng)上出售����,”雙子座解釋道。 “發(fā)現(xiàn)該漏洞后不久�,多家金融機(jī)構(gòu)證實(shí),在此次違規(guī)事件中受損的銀行卡已按照EMV 進(jìn)行處理��,并且不依賴磁條作為備份���?���!?
Gemini 表示,已證實(shí)最近發(fā)生的另一起數(shù)據(jù)泄露事件(發(fā)生在佐治亞州的一家酒類商店)也導(dǎo)致EMV 交易數(shù)據(jù)出現(xiàn)在出售被盜卡數(shù)據(jù)的暗網(wǎng)商店中����。正如Gemini 和Visa 指出的那樣,在這兩種情況下��,銀行適當(dāng)?shù)膇CVV 驗(yàn)證應(yīng)該會使截獲的EMV 數(shù)據(jù)對詐騙者毫無用處���。
Gemini 確定��,由于受影響的商店數(shù)量眾多����,參與這些數(shù)據(jù)泄露的竊賊極不可能使用物理安裝的EMV 卡閃存攔截EMV 數(shù)據(jù)���。
該公司寫道:“鑒于這種策略極其不切實(shí)際,他們可能會使用不同的技術(shù)來遠(yuǎn)程破壞POS 系統(tǒng)�,以便收集足夠的EMV 數(shù)據(jù)用于EMV 旁路克隆?��!?
Gemini 的研發(fā)總監(jiān)斯塔斯·阿爾福羅夫(Stas Alforov) 表示��,不進(jìn)行這些檢查的金融機(jī)構(gòu)可能會失去發(fā)現(xiàn)這些卡被用于欺詐的能力��。這是因?yàn)?�,許多發(fā)行芯片卡的銀行可能認(rèn)為��,只要卡用于芯片交易���,被克隆并在地下出售的風(fēng)險(xiǎn)就很小�����。因此�,當(dāng)這些機(jī)構(gòu)尋找欺詐交易模式以確定哪些商戶可能受到POS 惡意軟件攻擊時(shí)���,他們可能會根本忽略任何基于芯片的支付�,而只關(guān)注客戶刷卡的商戶���。
Alforov 表示:“卡網(wǎng)絡(luò)正在抓住這樣一個(gè)事實(shí)����,即現(xiàn)在發(fā)生了更多基于EMV 的數(shù)據(jù)泄露事件����?�!?“像大通銀行或美國銀行這樣的大型發(fā)卡機(jī)構(gòu)會檢查[iCVV 和CVV 之間的不匹配]����,并會撤銷不匹配的交易�。但對于一些較小的機(jī)構(gòu)來說,情況顯然并非如此��?!?
