中间人攻击搞定芯片银行卡 黑客狂盗68万美金

据安全牛报道 2011年，犯罪团伙成功窃取68万美金，法国的研究小组日前已完成对这一事件的技术分析。 EMV是Europay、MasterCard、Visa三者的简写，它也被称为芯片密码卡。欧洲在过去的多年里一直在使用这种技术，美国近期也开始部署这项技术，取代现行的词条卡，以增强安全性。 EMV转账包括三个步骤：验证卡片、验证持卡人、验证交易。 第一个阶段中，POS机将确定卡片的类型，比如借记卡、信用卡、ATM、忠诚卡。第二阶段，POS机要求用户输入PIN码并将其发送到卡片，之后卡片将验证其是否正确，并将结果传输给POS机。 验证交易阶段，POS机会将金额、币种、日期及其它交易详细信息发送给卡片，卡片会向发卡方发送一个授权请求密码。发卡方则会回复一条授权请求，它会告诉POS机如何处理该交易。 2010年，英国剑桥大学的研究人员发现了一个漏洞。罪犯可以使用失窃的芯片密码卡，而不需要知道其PIN码。这种攻击依赖于一种作为中间人的设备，它可以阻止第二阶段中的验证PIN码传送到卡片，并在任何情况下使卡片响应PIN码正确。研究人员在当时指出，如果罪犯想要将整套攻击设备缩小到卡片大小，将不会遇到太大的困难。 第二年，法国某银行集团获悉一系列被盗的EMV卡出现在了比利时。由于使用EMV卡进行欺诈交易从理论上讲是不可能的，当局展开了调查。 通过将欺诈交易的发生时间和地理位置与出现在犯罪现场附近的SIM卡国际移动用户识别码进行比对，警方发现了一位25岁的女性。当局随后逮捕了团伙的其它成员，其中包括制造假芯片密码卡的工程师。 据报道，该团伙使用40张改造卡，进行了7000笔转账交易，窃取了大约68万美金。 负责此案的法国研究人员表示这是“迄今为止出现的最复杂的银行卡欺诈行为”。他们在本月早些时候发布的一篇论文中提到，骗子在将两块芯片叠放在一起，制成了攻击设备。 第一块芯片来自被盗银行卡。第二块芯片则充当中间人设备，确保不论输入的PIN码是什么，卡片都会接受输入。攻击者用到的是FUNcard，这是一种被电子爱好者广泛使用的芯片。 两块芯片被连接到一起，嵌入到一张塑料卡片中。安全专家指出，制造这种假设备需要“耐心、技巧和技术”。尽管得到的卡比普通卡片稍厚，仍足够插进POS机中。 假卡的工作原理可以总结为：让真芯片进行验证卡片和验证交易阶段，让第二块芯片劫持验证持卡人阶段。 研究人员介绍称，由于部署了名为“联合数据认证”的新技术和一系列网络层面上的保护措施，这种攻击将不再有效。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/