免费91完整版在线观看,97在线碰,野花日本大全免费观看6高清版

曝！存在缺陷，允許攻擊者繞過(guò)Visa非接觸式卡的支付限制

責(zé)編：gltian ｜2019-08-05 13:40:47

Positive Technologies的研究人員Leigh-Anne Galloway和Tim Yunusov發(fā)現(xiàn)了允許攻擊者繞過(guò)Visa非接觸式卡支付限制的缺陷。

已經(jīng)對(duì)五家主要的英國(guó)銀行進(jìn)行了測(cè)試，成功繞過(guò)所有經(jīng)過(guò)測(cè)試的Visa卡的非接觸式驗(yàn)證限制（支付30英鎊的限制），與卡終端無(wú)關(guān)。

研究人員還發(fā)現(xiàn)，英國(guó)以外的卡和終端可以進(jìn)行這種攻擊。這些調(diào)查結(jié)果非常重要，因?yàn)榉墙佑|式支付驗(yàn)證限制用于防范近年來(lái)不斷增加的欺詐性損失。

該攻擊通過(guò)操縱在非接觸式支付期間在卡和終端之間交換的兩個(gè)數(shù)據(jù)字段來(lái)工作。主要在英國(guó)，如果付款需要額外的持卡人驗(yàn)證（英國(guó)支付超過(guò)30英鎊所需），卡將回答“我不能這樣做”，這可以防止超過(guò)此限額付款。

其次，終端使用國(guó)家特定設(shè)置，其要求卡或移動(dòng)錢包提供對(duì)持卡人的額外驗(yàn)證，例如通過(guò)在電話上輸入卡PIN或指紋認(rèn)證。

可以使用攔截卡和支付終端之間通信的設(shè)備繞過(guò)這兩種檢查。

該設(shè)備充當(dāng)代理，并且已知用于中間人（MITM）攻擊。首先，設(shè)備告訴卡，即使金額超過(guò)30英鎊，也不需要驗(yàn)證。然后，設(shè)備告訴終端已經(jīng)通過(guò)其他方式進(jìn)行了驗(yàn)證。

這種攻擊是可能的，因?yàn)閂isa不要求發(fā)卡機(jī)構(gòu)和收單機(jī)構(gòu)在沒(méi)有提供最低限度驗(yàn)證的情況下進(jìn)行阻止付款的檢查。

攻擊也可以使用GPay等移動(dòng)錢包進(jìn)行，其中Visa卡已添加到錢包中。在這里，甚至可以在不解鎖手機(jī)的情況下欺詐性地充值至30英鎊。

據(jù)英國(guó)金融協(xié)會(huì)稱，非接觸式卡和設(shè)備的欺詐行為從2016年的670萬(wàn)英鎊增加到2017年的1400萬(wàn)英鎊.2018年上半年，非接觸式欺詐損失了840萬(wàn)英鎊。

該發(fā)現(xiàn)強(qiáng)調(diào)了開(kāi)證行提供額外擔(dān)保的重要性，開(kāi)證行不應(yīng)依賴Visa來(lái)提供安全的付款協(xié)議。相反，發(fā)行人應(yīng)該有自己的措施來(lái)檢測(cè)和阻止這種攻擊媒介和其他支付攻擊。

“支付行業(yè)認(rèn)為非接觸式支付受到他們保障措施的保護(hù)，但事實(shí)是非接觸式欺詐正在增加，”Positive Technologies銀行業(yè)務(wù)安全負(fù)責(zé)人Tim Yunusov表示。

“雖然這是一種相對(duì)較新的欺詐行為，可能不是銀行目前的首要任務(wù)，如果可以輕易繞過(guò)非接觸式驗(yàn)證限制，這意味著我們可以看到銀行及其客戶遭受更多破壞性損失。”

研究人員建議，非接觸式卡用戶需要保持警惕，監(jiān)控他們的銀行賬戶報(bào)表以盡早發(fā)現(xiàn)欺詐行為，如果可以與他們的銀行一起實(shí)施其他安全措施，如支付驗(yàn)證限制和短信通知。

“這取決于客戶和銀行保護(hù)自己，”Positive Technologies網(wǎng)絡(luò)安全恢復(fù)主管Leigh-Anne Galloway說(shuō)。

“雖然一些終端有隨機(jī)檢查，但這些必須由商家編程，因此完全由他們自行決定。正因?yàn)槿绱耍覀兛梢灶A(yù)期看到非接觸式欺詐繼續(xù)上升。

“發(fā)行人需要更好地執(zhí)行他們自己的非接觸式規(guī)則并提高行業(yè)標(biāo)準(zhǔn)。犯罪分子總是傾向于以更方便的方式快速獲取資金，所以我們需要盡可能地增加非接觸式破解難度。“