想象一下,一名海盗手里拿着一部 Android 智能手机在地铁里走来走去。每次设备距离 NFC 银行卡一厘米以内(这在高峰时段相对容易),它都会验证高达……999,999.99 欧元的银行付款!不可能的 ?不幸的是,答案并非如此,英国纽卡斯尔大学的五位安全研究人员刚刚证明了这一点。
通过分析支付卡国际安全标准 EMV 协议,这些专家发现了一个重大缺陷,该缺陷允许绕过为非接触式交易定义的上限。在英国是 20 英镑,在法国是 20 欧元。要超过此限制,只需使用相关卡以外的货币进行交易即可。在英国,研究人员能够验证他们对 Visa 信用卡的攻击。他们能够核实的最大金额为 999,999.99 欧元或 999,999.99 美元。
从技术上讲,攻击并不那么复杂。研究人员开发了一款模拟支付终端的应用程序,并将其安装在 Google Nexus 5 上。当智能手机靠近 NFC 卡时,它会自动生成交易,而持卡人却没有意识到。这是可能的,因为非接触式交易不需要验证 PIN。该交易肯定已创建,但尚未发送到银行。它首先存储在终端中。同样,这是可能的,因为 EMV 标准授权交易离线。这样做的好处是,黑客可以悄悄地收集受害者的交易,并在第二步中集中精力追回资金。
事实上,研究人员表明,这些交易可以被转移到 EMV 网络附属同谋商家的任何支付系统,然后将其发送到受害者的银行。为此,只需将与该商家相关的数据添加到存储的交易中即可。这是可能的,因为在 EMV 标准中,商户数据不是银行卡创建的加密验证印章的一部分。因此,黑客可以生成交易,然后选择他希望从中获得头奖的商家。可以说,这个过程的优点是:它允许大规模欺诈。从理论上讲,没有什么可以阻止网络犯罪分子在或多或少的一段时间内侵入多个地点的银行卡。
有趣的是,了解这种攻击是否也适用于其他国家(例如法国)的 Visa 卡。不幸的是,研究人员仅限于英国银行卡。还应该指出的是,万事达卡不易受到这种攻击,因为它们不允许离线模式进行外币交易。证明这个缺陷有技术解决方案。
以下是纽卡斯尔研究人员的分析:
另请阅读:
NFC卡被黑:法国银行的秘密危机计划,于 16/06/2014
新银行卡丑闻,于 04/09/2012
![宽带:巴黎及各省ISP排名 [14/9]](https://webbedxp.com/statics/image/placeholder.png)
