交换:攻击者将MasterCard信用卡转换为Visa卡以窃取资金,将其误认为是Visa卡并继续进行交易。该研究报告由苏黎世联邦理工学院的一组学者发表,基于去年9月的一项详细研究,该研究涉及PIN绕过攻击,攻击者可以利用受害者被盗或丢失的基于EMV的信用卡发起攻击,甚至诱使终端接受未经身份验证的信息离线卡交易。你可以理解EMV是指支持EMV技术的卡片和读卡器。由于EMV读卡器始终与商户系统(POS机)相连,其读取的卡信息会经过商户系统(POS机),最终(直接或间接)与银行进行交易。研究人员认为,在销售终端将MasterCard误认为Visa,不仅会造成信用卡管理上的混乱,还会带来严重的后果。例如,犯罪分子可以将它与之前对Visa的攻击结合使用,以绕过万事达卡的PIN。目前,MasterCard被认为是受PIN保护的。另一个原因是EMV是由Europay(Europay并入MasterCard组织)、MasterCard、VISA共同制定的银行芯片卡借/贷应用的统一技术标准。在负责任地披露之后,苏黎世联邦理工学院的研究人员表示,万事达卡现在已经在网络层面实施了防御机制,以阻止此类攻击。调查结果将在今年8月下旬的第30届USENIX安全研讨会上公布。信用卡品牌混淆攻击与之前针对Visa卡的攻击一样,最新的研究也利用了之前广泛使用的EMV非接触式协议中的一个“关键”漏洞,只不过这一次它针对的是万事达卡。在高层次上,这是通过使用在中继攻击架构之上实施中间人(MitM)攻击的Android应用程序实现的,允许该应用程序不仅可以拦截和操纵NFC(或Wi-Fi)通信恶意引入不同信用卡品牌和支付网络之间的不匹配。换句话说,如果发行的卡是Visa或Mastercard品牌卡,则促进EMV交易所需的授权请求将被路由到相应的支付网络。支付终端使用所谓的主帐号(PAN,也称为卡号)和唯一标识卡类型(例如MasterCardMaestro或VisaElectron)的应用程序标识符(AID)的组合来识别品牌和然后使用后者为交易提供资金。激活特定内核。EMV核心是一组功能,可提供执行EMV接触式或非接触式交易所需的所有必要处理逻辑和数据。研究人员现在称之为“卡品牌混淆”的攻击利用了以下过程:这些AID未通过支付终端进行身份验证,因此有可能诱使终端激活有缺陷的内核,这进一步扩展到处理该过程的银行付款,通过PAN和AID代表商家接受非接触式交易,指示不同的信用卡品牌。然后,攻击者将同时在终端上执行Visa交易并在卡上执行Mastercard交易。但是,要使此攻击成功,必须满足许多先决条件。例如,要完成这样的攻击,攻击者必须首先能够访问受害者的卡,此外还能够在将它们发送给相应的接收者之前修改终端的命令和卡的响应。它不需要root权限或利用Android中的漏洞来使用概念验证(PoC)应用程序。然而,研究人员指出,EMV非接触式协议中的第二个漏洞可能允许攻击者根据从非Visa卡。苏黎世联邦理工学院的研究人员表示,使用PoCAndroid应用程序,他们能够绕过MasterCard信用卡和借记卡交易的PIN验证,包括由不同银行发行的两张Maestro借记卡和两张MasterCard信用卡。针对这种可能的交易,万事达卡增加了多项安全对策,包括要求金融机构将AID包含在授权数据中,从而允许发卡机构将AID与PAN进行核对。此外,支付网络还检查了授权请求中存在的其他数据点,这些数据点可用于识别此类攻击并首先拒绝欺诈交易。本文翻译自:https://thehackernews.com/2021/02/new-hack-lets-attackers-bypass.html如有转载请注明原文地址。
