曝!存在缺陷,允許攻擊者繞過Visa非接觸式卡的支付限制
責編:gltian |2019-08-05 13:40:47Positive Technologies的研究人員Leigh-Anne Galloway和Tim Yunusov發現了允許攻擊者繞過Visa非接觸式卡支付限制的缺陷。
已經對五家主要的英國銀行進行了測試,成功繞過所有經過測試的Visa卡的非接觸式驗證限制(支付30英鎊的限制),與卡終端無關。
研究人員還發現,英國以外的卡和終端可以進行這種攻擊。這些調查結果非常重要,因為非接觸式支付驗證限制用于防范近年來不斷增加的欺詐性損失。
該攻擊通過操縱在非接觸式支付期間在卡和終端之間交換的兩個數據字段來工作。主要在英國,如果付款需要額外的持卡人驗證(英國支付超過30英鎊所需),卡將回答“我不能這樣做”,這可以防止超過此限額付款。
其次,終端使用國家特定設置,其要求卡或移動錢包提供對持卡人的額外驗證,例如通過在電話上輸入卡PIN或指紋認證。
可以使用攔截卡和支付終端之間通信的設備繞過這兩種檢查。
該設備充當代理,并且已知用于中間人(MITM)攻擊。首先,設備告訴卡,即使金額超過30英鎊,也不需要驗證。然后,設備告訴終端已經通過其他方式進行了驗證。
這種攻擊是可能的,因為Visa不要求發卡機構和收單機構在沒有提供最低限度驗證的情況下進行阻止付款的檢查。
攻擊也可以使用GPay等移動錢包進行,其中Visa卡已添加到錢包中。在這里,甚至可以在不解鎖手機的情況下欺詐性地充值至30英鎊。
據英國金融協會稱,非接觸式卡和設備的欺詐行為從2016年的670萬英鎊增加到2017年的1400萬英鎊.2018年上半年,非接觸式欺詐損失了840萬英鎊。
該發現強調了開證行提供額外擔保的重要性,開證行不應依賴Visa來提供安全的付款協議。相反,發行人應該有自己的措施來檢測和阻止這種攻擊媒介和其他支付攻擊。
“支付行業認為非接觸式支付受到他們保障措施的保護,但事實是非接觸式欺詐正在增加,”Positive Technologies銀行業務安全負責人Tim Yunusov表示。
“雖然這是一種相對較新的欺詐行為,可能不是銀行目前的首要任務,如果可以輕易繞過非接觸式驗證限制,這意味著我們可以看到銀行及其客戶遭受更多破壞性損失。”
研究人員建議,非接觸式卡用戶需要保持警惕,監控他們的銀行賬戶報表以盡早發現欺詐行為,如果可以與他們的銀行一起實施其他安全措施,如支付驗證限制和短信通知。
“這取決于客戶和銀行保護自己,”Positive Technologies網絡安全恢復主管Leigh-Anne Galloway說。
“雖然一些終端有隨機檢查,但這些必須由商家編程,因此完全由他們自行決定。正因為如此,我們可以預期看到非接觸式欺詐繼續上升。
“發行人需要更好地執行他們自己的非接觸式規則并提高行業標準。犯罪分子總是傾向于以更方便的方式快速獲取資金,所以我們需要盡可能地增加非接觸式破解難度。“