想像一下,一名海盜手裡拿著一部 Android 智慧型手機在地鐵裡走來走去。每次設備距離 NFC 銀行卡一厘米以內(這在高峰時段相對容易),它都會驗證高達…999,999.99 歐元的銀行付款!不可能的 ?不幸的是,答案並非如此,英國紐卡斯爾大學的五位安全研究人員剛剛證明了這一點。
透過分析支付卡國際安全標準 EMV 協議,這些專家發現了一個重大缺陷,允許繞過為非接觸式交易定義的上限。在英國是 20 英鎊,在法國是 20 歐元。要超過此限制,只需使用相關卡片以外的貨幣進行交易即可。在英國,研究人員能夠驗證他們對 Visa 信用卡的攻擊。他們能夠核實的最大金額為 999,999.99 歐元或 999,999.99 美元。
從技術上講,攻擊並不那麼複雜。研究人員開發了一款模擬支付終端的應用程序,並將其安裝在 Google Nexus 5 上。這是可能的,因為非接觸式交易不需要驗證 PIN。該交易肯定已創建,但尚未發送到銀行。它首先儲存在終端中。同樣,這是可能的,因為 EMV 標準授權交易離線。這樣做的好處是,駭客可以悄悄地收集受害者的交易,並在第二步中集中精力追回資金。
事實上,研究人員表明,這些交易可以轉移到 EMV 網路附屬同謀商家的任何支付系統,然後將其發送到受害者的銀行。為此,只需將與該商家相關的資料新增至儲存的交易即可。這是可能的,因為在 EMV 標準中,商家資料不是銀行卡創建的加密驗證印章的一部分。因此,駭客可以產生交易,然後選擇他希望從中獲得頭獎的商家。可以說,這個過程的優點是:它允許大規模詐欺。從理論上講,沒有什麼可以阻止網路犯罪分子在或多或少的一段時間內侵入多個地點的銀行卡。
有趣的是,了解這種攻擊是否也適用於其他國家(例如法國)的 Visa 卡。不幸的是,研究人員僅限於英國銀行卡。還應該指出的是,萬事達卡不易受到這種攻擊,因為它們不允許離線模式進行外幣交易。證明這個缺陷有技術解決方案。
以下是紐卡斯爾研究人員的分析:
另請閱讀:
NFC卡被駭:法國銀行的秘密危機計劃,於 16/06/2014
新銀行卡醜聞,於 04/09/2012
