技術(shù)
導(dǎo)讀:實(shí)際上,所有基于芯片的卡片仍然有很多相同的數(shù)據(jù),這些數(shù)據(jù)存儲(chǔ)在卡片背面的磁條上編碼的芯片中。
知名安全網(wǎng)站 KrebsOnSecurity近日發(fā)文稱,以芯片為基礎(chǔ)的信用卡和借記卡的設(shè)計(jì),是為了讓盜刷設(shè)備或惡意軟件無(wú)法在你通過(guò)蘸取芯片而非刷卡條付款時(shí)克隆你的卡。但最近一系列針對(duì)美國(guó)商戶的惡意軟件攻擊表明,盜賊正在利用某些金融機(jī)構(gòu)實(shí)施該技術(shù)的弱點(diǎn),繞過(guò)關(guān)鍵的芯片卡安全功能,有效地制造可用的偽卡。
傳統(tǒng)的支付卡將持卡人的賬戶數(shù)據(jù)以純文本形式編碼在磁條上,磁條可以被竊取設(shè)備或偷偷安裝在支付終端上的惡意軟件讀取和記錄。然后,這些數(shù)據(jù)可以被編碼到任何其他帶有磁條的東西上,并用于進(jìn)行欺詐性交易。
較新的基于芯片的卡采用了一種被稱為EMV的技術(shù),對(duì)存儲(chǔ)在芯片中的賬戶數(shù)據(jù)進(jìn)行加密。該技術(shù)導(dǎo)致每次芯片卡與芯片功能的支付終端交互時(shí),都會(huì)產(chǎn)生一個(gè)獨(dú)特的加密密鑰--稱為令牌或 "cryptogram"。
實(shí)際上,所有基于芯片的卡片仍然有很多相同的數(shù)據(jù),這些數(shù)據(jù)存儲(chǔ)在卡片背面的磁條上編碼的芯片中。這主要是出于向后兼容性的考慮,因?yàn)樵S多商家--尤其是美國(guó)的商家--仍然沒有完全實(shí)現(xiàn)芯片卡讀卡器。這種雙重功能還允許持卡人在卡的芯片或商家的EMV終端因某種原因發(fā)生故障時(shí),可以刷磁條。
但EMV芯片與磁條上存儲(chǔ)的持卡人數(shù)據(jù)有重要區(qū)別。其中之一是芯片中的一個(gè)被稱為集成電路卡驗(yàn)證值或簡(jiǎn)稱 "iCVV "的組件--也被稱為 "動(dòng)態(tài)CVV"。iCVV不同于存儲(chǔ)在物理磁條上的卡驗(yàn)證值(CVV),它可以防止從芯片中復(fù)制磁條數(shù)據(jù),并利用這些數(shù)據(jù)制造偽造的磁條卡。iCVV和CVV值都與卡背面明顯印制的三位數(shù)安全碼無(wú)關(guān),主要用于電子商務(wù)交易或通過(guò)電話進(jìn)行卡片驗(yàn)證。
EMV方式的魅力在于,即使有盜刷者或惡意軟件成功攔截到芯片卡浸泡時(shí)的交易信息,這些數(shù)據(jù)也只對(duì)這一次交易有效,應(yīng)該不會(huì)讓盜賊繼續(xù)用它進(jìn)行欺詐性支付。
然而,為了讓EMV的安全保護(hù)措施發(fā)揮作用,發(fā)卡金融機(jī)構(gòu)部署的后端系統(tǒng)應(yīng)該檢查當(dāng)芯片卡浸入芯片讀卡器時(shí),只出示iCVV;反之,刷卡時(shí)只出示CVV。如果這些在某種程度上與某一交易類型不一致,金融機(jī)構(gòu)就應(yīng)該拒絕該交易。
問題是,并不是所有的金融機(jī)構(gòu)都以這種方式正確地設(shè)置了他們的系統(tǒng)。不足為奇的是,盜賊多年來(lái)一直知道這個(gè)弱點(diǎn)。2017年,Brian Krebs 曾寫過(guò)一篇關(guān)于 "閃爍器 "日益盛行的文章,這是一種為攔截芯片卡交易數(shù)據(jù)而制作的高科技銀行卡盜刷裝置。
最近,Cyber R&D實(shí)驗(yàn)室的研究人員發(fā)表了一篇論文,詳細(xì)介紹了他們是如何測(cè)試歐洲和美國(guó)10家不同銀行的11種芯片卡實(shí)現(xiàn)的,研究人員發(fā)現(xiàn)他們可以從其中的4種芯片卡中采集數(shù)據(jù),并創(chuàng)建克隆的磁條卡,并成功地用于放置交易。
現(xiàn)在有強(qiáng)烈的跡象表明,Cyber R&D Labs詳述的同樣的方法正在被銷售終端(POS)惡意軟件用于捕獲EMV交易數(shù)據(jù),然后可以轉(zhuǎn)售并用于制造基于芯片卡的磁條副本。
本月早些時(shí)候,全球最大的支付卡網(wǎng)絡(luò)Visa發(fā)布了一份安全警報(bào),內(nèi)容涉及最近發(fā)生的一起商戶泄密事件,已知的POS惡意軟件系列顯然被修改為針對(duì)EMV芯片的POS終端。
“安全接受技術(shù)的實(shí)施,如EMV?芯片,大大降低了威脅行為者對(duì)支付賬戶數(shù)據(jù)的可用性,因?yàn)榭捎脭?shù)據(jù)僅包括個(gè)人賬戶號(hào)碼(PAN),集成電路卡驗(yàn)證值(iCVV)和到期日期,”Visa寫道?!耙虼耍灰猧CVV得到正確的驗(yàn)證,假冒欺詐的風(fēng)險(xiǎn)是最小的。此外,許多商戶所在地采用了點(diǎn)對(duì)點(diǎn)加密(P2PE),對(duì)PAN數(shù)據(jù)進(jìn)行加密,進(jìn)一步降低了以EMV芯片處理的支付賬戶的風(fēng)險(xiǎn)。”
Visa沒有列出受影響商戶的名字,但美國(guó)東北部的連鎖超市Key Food Stores Co-Operative Inc.似乎也發(fā)生了類似的事情。Key Food最初在2020年3月披露了一起銀行卡數(shù)據(jù)泄露事件,但兩周前更新了咨詢,澄清EMV交易數(shù)據(jù)也被截獲。
“涉及的商店地點(diǎn)的POS設(shè)備是啟用EMV的,”Key Food解釋說(shuō)?!皩?duì)于這些地點(diǎn)的EMV交易,我們相信只有卡號(hào)和到期日會(huì)被惡意軟件發(fā)現(xiàn)(但不會(huì)發(fā)現(xiàn)持卡人姓名或內(nèi)部驗(yàn)證碼)?!?/p>
雖然Key Food的聲明在技術(shù)上可能是準(zhǔn)確的,但它掩蓋了一個(gè)現(xiàn)實(shí),即在發(fā)卡銀行沒有正確實(shí)施EMV的情況下,被竊取的EMV數(shù)據(jù)仍然可以被欺詐者用來(lái)創(chuàng)建磁條版的EMV卡呈現(xiàn)在被入侵的商店收銀機(jī)上。
此前欺詐情報(bào)公司Gemini Advisory發(fā)布了一篇博客文章,提供了更多關(guān)于最近的商戶入侵事件的信息--包括Key Food,在這些事件中,EMV交易數(shù)據(jù)被竊取,并最終在迎合盜卡者的地下商店出售。
“這次數(shù)據(jù)泄露事件中被盜的支付卡在暗網(wǎng)中提供銷售,”Gemini解釋說(shuō)?!霸诎l(fā)現(xiàn)這個(gè)漏洞后不久,幾家金融機(jī)構(gòu)證實(shí),這次漏洞中被泄露的卡都是按EMV處理的,并沒有依靠磁條作為備用?!?/p>
Gemini表示,它已經(jīng)核實(shí)最近的另一起數(shù)據(jù)泄露事件--在佐治亞州的一家酒類商店--也導(dǎo)致了被泄露的EMV交易數(shù)據(jù)出現(xiàn)在出售被盜卡數(shù)據(jù)的暗網(wǎng)商店中。正如Gemini和Visa所指出的那樣,在這兩種情況下,銀行適當(dāng)?shù)膇CVV驗(yàn)證應(yīng)該會(huì)使這些被截獲的EMV數(shù)據(jù)對(duì)騙子毫無(wú)用處。
Gemini認(rèn)定,由于受影響的商店數(shù)量眾多,參與這些數(shù)據(jù)泄露事件的盜賊使用物理安裝的EMV卡閃光燈攔截EMV數(shù)據(jù)的可能性極小。
“鑒于這種策略極其不切實(shí)際,他們很可能使用不同的技術(shù)遠(yuǎn)程入侵POS系統(tǒng),以收集足夠的EMV數(shù)據(jù)來(lái)進(jìn)行EMV旁路克隆,”該公司寫道。
Gemini的研發(fā)總監(jiān)Stas Alforov表示,沒有進(jìn)行這些檢查的金融機(jī)構(gòu)有可能失去注意到這些卡被用于欺詐的能力。這是因?yàn)樵S多發(fā)行了芯片卡的銀行可能會(huì)認(rèn)為,只要這些卡用于芯片交易,就幾乎不存在這些卡被克隆并在地下出售的風(fēng)險(xiǎn)。因此,當(dāng)這些機(jī)構(gòu)在欺詐交易中尋找模式,以確定哪些商戶可能會(huì)被POS惡意軟件入侵時(shí),他們可能會(huì)完全不考慮任何基于芯片的支付,而只關(guān)注那些客戶刷過(guò)卡的商戶。
“卡網(wǎng)絡(luò)正在抓住現(xiàn)在有更多基于EMV的數(shù)據(jù)泄露事件發(fā)生這一事實(shí),”Alforov說(shuō)?!跋翊笸ɑ蛎绹?guó)銀行這樣的大型發(fā)卡機(jī)構(gòu)確實(shí)在檢查[iCVV和CVV之間的不匹配],并將撤回不匹配的交易。但一些小機(jī)構(gòu)的情況顯然不是這樣?!?/p>