導(dǎo)讀:實際上,所有基于芯片的卡片仍然有很多相同的數(shù)據(jù),這些數(shù)據(jù)存儲在卡片背面的磁條上編碼的芯片中。
知名安全網(wǎng)站 KrebsOnSecurity近日發(fā)文稱,以芯片為基礎(chǔ)的信用卡和借記卡的設(shè)計,是為了讓盜刷設(shè)備或惡意軟件無法在你通過蘸取芯片而非刷卡條付款時克隆你的卡。但最近一系列針對美國商戶的惡意軟件攻擊表明,盜賊正在利用某些金融機構(gòu)實施該技術(shù)的弱點,繞過關(guān)鍵的芯片卡安全功能,有效地制造可用的偽卡。
傳統(tǒng)的支付卡將持卡人的賬戶數(shù)據(jù)以純文本形式編碼在磁條上,磁條可以被竊取設(shè)備或偷偷安裝在支付終端上的惡意軟件讀取和記錄。然后,這些數(shù)據(jù)可以被編碼到任何其他帶有磁條的東西上,并用于進行欺詐性交易。
較新的基于芯片的卡采用了一種被稱為EMV的技術(shù),對存儲在芯片中的賬戶數(shù)據(jù)進行加密。該技術(shù)導(dǎo)致每次芯片卡與芯片功能的支付終端交互時,都會產(chǎn)生一個獨特的加密密鑰--稱為令牌或 "cryptogram"。
實際上,所有基于芯片的卡片仍然有很多相同的數(shù)據(jù),這些數(shù)據(jù)存儲在卡片背面的磁條上編碼的芯片中。這主要是出于向后兼容性的考慮,因為許多商家--尤其是美國的商家--仍然沒有完全實現(xiàn)芯片卡讀卡器。這種雙重功能還允許持卡人在卡的芯片或商家的EMV終端因某種原因發(fā)生故障時,可以刷磁條。
但EMV芯片與磁條上存儲的持卡人數(shù)據(jù)有重要區(qū)別。其中之一是芯片中的一個被稱為集成電路卡驗證值或簡稱 "iCVV "的組件--也被稱為 "動態(tài)CVV"。iCVV不同于存儲在物理磁條上的卡驗證值(CVV),它可以防止從芯片中復(fù)制磁條數(shù)據(jù),并利用這些數(shù)據(jù)制造偽造的磁條卡。iCVV和CVV值都與卡背面明顯印制的三位數(shù)安全碼無關(guān),主要用于電子商務(wù)交易或通過電話進行卡片驗證。
EMV方式的魅力在于,即使有盜刷者或惡意軟件成功攔截到芯片卡浸泡時的交易信息,這些數(shù)據(jù)也只對這一次交易有效,應(yīng)該不會讓盜賊繼續(xù)用它進行欺詐性支付。
然而,為了讓EMV的安全保護措施發(fā)揮作用,發(fā)卡金融機構(gòu)部署的后端系統(tǒng)應(yīng)該檢查當(dāng)芯片卡浸入芯片讀卡器時,只出示iCVV;反之,刷卡時只出示CVV。如果這些在某種程度上與某一交易類型不一致,金融機構(gòu)就應(yīng)該拒絕該交易。
問題是,并不是所有的金融機構(gòu)都以這種方式正確地設(shè)置了他們的系統(tǒng)。不足為奇的是,盜賊多年來一直知道這個弱點。2017年,Brian Krebs 曾寫過一篇關(guān)于 "閃爍器 "日益盛行的文章,這是一種為攔截芯片卡交易數(shù)據(jù)而制作的高科技銀行卡盜刷裝置。
最近,Cyber R&D實驗室的研究人員發(fā)表了一篇論文,詳細介紹了他們是如何測試歐洲和美國10家不同銀行的11種芯片卡實現(xiàn)的,研究人員發(fā)現(xiàn)他們可以從其中的4種芯片卡中采集數(shù)據(jù),并創(chuàng)建克隆的磁條卡,并成功地用于放置交易。
現(xiàn)在有強烈的跡象表明,Cyber R&D Labs詳述的同樣的方法正在被銷售終端(POS)惡意軟件用于捕獲EMV交易數(shù)據(jù),然后可以轉(zhuǎn)售并用于制造基于芯片卡的磁條副本。
本月早些時候,全球最大的支付卡網(wǎng)絡(luò)Visa發(fā)布了一份安全警報,內(nèi)容涉及最近發(fā)生的一起商戶泄密事件,已知的POS惡意軟件系列顯然被修改為針對EMV芯片的POS終端。
“安全接受技術(shù)的實施,如EMV?芯片,大大降低了威脅行為者對支付賬戶數(shù)據(jù)的可用性,因為可用數(shù)據(jù)僅包括個人賬戶號碼(PAN),集成電路卡驗證值(iCVV)和到期日期,”Visa寫道?!耙虼?,只要iCVV得到正確的驗證,假冒欺詐的風(fēng)險是最小的。此外,許多商戶所在地采用了點對點加密(P2PE),對PAN數(shù)據(jù)進行加密,進一步降低了以EMV芯片處理的支付賬戶的風(fēng)險?!?/p>
Visa沒有列出受影響商戶的名字,但美國東北部的連鎖超市Key Food Stores Co-Operative Inc.似乎也發(fā)生了類似的事情。Key Food最初在2020年3月披露了一起銀行卡數(shù)據(jù)泄露事件,但兩周前更新了咨詢,澄清EMV交易數(shù)據(jù)也被截獲。
“涉及的商店地點的POS設(shè)備是啟用EMV的,”Key Food解釋說?!皩τ谶@些地點的EMV交易,我們相信只有卡號和到期日會被惡意軟件發(fā)現(xiàn)(但不會發(fā)現(xiàn)持卡人姓名或內(nèi)部驗證碼)?!?/p>
雖然Key Food的聲明在技術(shù)上可能是準確的,但它掩蓋了一個現(xiàn)實,即在發(fā)卡銀行沒有正確實施EMV的情況下,被竊取的EMV數(shù)據(jù)仍然可以被欺詐者用來創(chuàng)建磁條版的EMV卡呈現(xiàn)在被入侵的商店收銀機上。
此前欺詐情報公司Gemini Advisory發(fā)布了一篇博客文章,提供了更多關(guān)于最近的商戶入侵事件的信息--包括Key Food,在這些事件中,EMV交易數(shù)據(jù)被竊取,并最終在迎合盜卡者的地下商店出售。
“這次數(shù)據(jù)泄露事件中被盜的支付卡在暗網(wǎng)中提供銷售,”Gemini解釋說?!霸诎l(fā)現(xiàn)這個漏洞后不久,幾家金融機構(gòu)證實,這次漏洞中被泄露的卡都是按EMV處理的,并沒有依靠磁條作為備用?!?/p>
Gemini表示,它已經(jīng)核實最近的另一起數(shù)據(jù)泄露事件--在佐治亞州的一家酒類商店--也導(dǎo)致了被泄露的EMV交易數(shù)據(jù)出現(xiàn)在出售被盜卡數(shù)據(jù)的暗網(wǎng)商店中。正如Gemini和Visa所指出的那樣,在這兩種情況下,銀行適當(dāng)?shù)膇CVV驗證應(yīng)該會使這些被截獲的EMV數(shù)據(jù)對騙子毫無用處。
Gemini認定,由于受影響的商店數(shù)量眾多,參與這些數(shù)據(jù)泄露事件的盜賊使用物理安裝的EMV卡閃光燈攔截EMV數(shù)據(jù)的可能性極小。
“鑒于這種策略極其不切實際,他們很可能使用不同的技術(shù)遠程入侵POS系統(tǒng),以收集足夠的EMV數(shù)據(jù)來進行EMV旁路克隆,”該公司寫道。
Gemini的研發(fā)總監(jiān)Stas Alforov表示,沒有進行這些檢查的金融機構(gòu)有可能失去注意到這些卡被用于欺詐的能力。這是因為許多發(fā)行了芯片卡的銀行可能會認為,只要這些卡用于芯片交易,就幾乎不存在這些卡被克隆并在地下出售的風(fēng)險。因此,當(dāng)這些機構(gòu)在欺詐交易中尋找模式,以確定哪些商戶可能會被POS惡意軟件入侵時,他們可能會完全不考慮任何基于芯片的支付,而只關(guān)注那些客戶刷過卡的商戶。
“卡網(wǎng)絡(luò)正在抓住現(xiàn)在有更多基于EMV的數(shù)據(jù)泄露事件發(fā)生這一事實,”Alforov說。“像大通或美國銀行這樣的大型發(fā)卡機構(gòu)確實在檢查[iCVV和CVV之間的不匹配],并將撤回不匹配的交易。但一些小機構(gòu)的情況顯然不是這樣?!?/p>