VISA芯片銀行卡現漏洞 黑客可從每張卡上盜取100萬
責編:admin |2014-11-05 15:45:082015年是美國銀行及零售商用芯片卡替換磁條的截止日期,但英國紐卡斯爾大學的研究人員聲稱,所謂的更安全的芯片卡,其系統存在嚴重漏洞。
VISA開發的在英國使用的芯片銀行卡系統,不能識別外幣交易,并因此會被利用進行非法轉賬,最多可達99.99999萬的貨幣單位。
而且,由于芯片卡不像傳統的磁條卡需要接觸讀卡器才能完成交易,因此黑客可以攜帶讀卡器走近受害者,即可完成非法轉賬行為。同時,這種卡與卡之間的轉賬是線下的,不通過零售商的POS機,也沒有另外的安全檢測手段。
發現該漏洞的研究人員表示,甚至只需要一部手機就能建立一部POS終端,從身邊人的錢包里讀取芯片卡上的信息。所有的交易檢測都在卡片上,而不是在終端機上。只需預先設置好轉賬額,然后用手機靠近受害者的錢包,即可完成交易。在實際測試時,用時不到一秒鐘。
芯片密碼卡(Chip and PIN)也稱為EMV卡,正在全美推行使用。推行EMV的初衷是為了減少類似塔吉特等銀行卡信息泄露事件的發生,防止攻擊者用記錄卡號和PIN碼的手段復制銀行卡,進行欺詐購物。
EMV 卡上的微芯片起著對卡片的合法性進行認證的作用,即使黑客盜走了卡片上的數據,他也無法生成完成交易的認證碼。目前EMV卡已經在歐洲和加拿大廣泛的實 施。VISA為了在美國推進讀卡器的安裝,已經宣布截止時間為2015年10月1日。到時,任何企業如果沒有安裝EMV讀卡器的話,將承擔銀行卡數據被盜 后發生欺詐交易的責任。
英國的EMV系統限制了卡片在不接觸讀卡器的情況下轉賬額度為20英鎊,超出這個額度需要輸入PIN碼,或其他驗證方法。但研究人員發現,該系統未能識別非英鎊的外幣交易,因此無需輸入PIN碼或其他驗證。
研究人員準備在近期亞里桑那州舉行的計算機與通信安全會議上提交他們的發現。