更新时间:2024-03-30 12:53作者:小乐
知名安全网站KrebsOnSecurity最近发表文章称,基于芯片的信用卡和借记卡的设计使得当你通过浸入芯片而不是刷卡条进行支付时,盗读设备或恶意软件无法克隆你的卡。但最近针对美国商家的一系列恶意软件攻击表明,窃贼正在利用一些金融机构实施该技术的弱点,绕过关键的芯片卡安全功能,并有效地制造可用的伪造卡。
传统支付卡将持卡人的账户数据以纯文本形式编码在磁条上,这些数据可以被窃取设备或秘密安装在支付终端上的恶意软件读取和记录。然后,这些数据可以用磁条编码到其他任何东西上,并用于进行欺诈交易。
较新的基于芯片的卡使用一种称为EMV 的技术来加密存储在芯片中的帐户数据。该技术会在每次芯片卡与支持芯片的支付终端交互时生成一个独特的加密密钥(称为令牌或“密码”)。
事实上,所有基于芯片的卡仍然具有许多相同的数据,这些数据存储在卡背面磁条上编码的芯片中。这主要是出于向后兼容性的原因,因为许多商家(尤其是美国的商家)仍然没有完全实现芯片卡读卡器。如果卡的芯片或商家的EMV 终端因某种原因出现故障,这种双重功能还允许持卡人刷磁条。
但EMV芯片上存储的持卡人数据与磁条上存在重要区别。其中之一是芯片中的一个组件,称为集成电路卡验证值,简称“iCVV”,也称为“动态CVV”。 iCVV 与存储在物理磁条上的卡验证值(CVV) 不同,它可以防止磁条数据从芯片中复制并用于制造假冒磁条卡。 iCVV 和CVV 值均独立于卡背面清晰印制的三位数安全码,主要用于电子商务交易或通过电话进行卡验证。
EMV方法的魅力在于,即使盗刷器或恶意软件在芯片卡被浸泡时成功拦截了交易信息,该数据也仅对本次交易有效,不应让窃贼继续使用它进行欺诈性支付。
然而,为了使EMV安全保护有效,发卡金融机构部署的后端系统应检查当芯片卡浸入芯片读卡器时,仅显示iCVV;反之,刷卡时只显示CVV。如果这些与交易类型在某些方面不一致,金融机构应拒绝该交易。
问题是,并非所有金融机构都以这种方式正确设置系统。毫不奇怪,窃贼多年来就知道这个弱点。 2017 年,布莱恩·克雷布斯(Brian Krebs) 撰文介绍了“flickers”日益流行的情况,这是一种用于拦截芯片卡交易数据的高科技银行卡盗取设备。
最近,Cyber RD Labs 的研究人员发表了一篇论文,详细介绍了他们如何测试来自欧洲和美国10 家不同银行的11 种芯片卡实现。研究人员发现他们可以从其中4 张芯片卡中提取数据。捕获数据并创建克隆磁条卡并成功用于进行交易。
现在有强有力的迹象表明,销售点(POS) 恶意软件正在使用Cyber RD 实验室详述的相同方法来捕获EMV 交易数据,然后将其转售并用于创建芯片的磁条副本-为基础的卡片。
本月早些时候,全球最大的支付卡网络Visa 就最近发生的一起商户违规行为发布了安全警报,其中已知的POS 恶意软件家族显然被修改为针对EMV 芯片POS 终端。
“EMV 芯片等安全接受技术的实施,显着降低了威胁行为者获取支付账户数据的可能性,因为可用数据仅包括个人账号(PAN)、集成电路卡验证值(iCVV) 和有效期日期,”维萨写道。 “因此,只要iCVV 得到正确验证,假冒欺诈的风险就很小。此外,许多商户地点都采用了点对点加密(P2PE),对PAN数据进行加密,进一步降低了使用EMV芯片处理的支付账户的风险。 ”
Visa 没有透露受影响商家的名称,但美国东北部的连锁超市Key Food Stores Co-Operative Inc. 似乎也发生了类似的情况。 Key Food 最初于2020 年3 月披露了银行卡数据泄露事件,但两周前更新了公告,澄清EMV 交易数据也被拦截。
“相关商店的POS 设备支持EMV,”Key Food 解释道。 “对于这些地点的EMV 交易,我们相信恶意软件只会发现卡号和到期日期(而不是持卡人姓名或内部验证码)。”
虽然Key Food 的声明在技术上可能是准确的,但它掩盖了这样一个事实:如果发卡银行没有正确实施EMV,欺诈者仍然可以使用被盗的EMV 数据来创建磁条版本的EMV。该卡出现在受感染的商店收银机上。
在此之前,欺诈情报公司Gemini Advisory 发表了一篇博文,提供了有关近期商家违规行为(包括Key Food)的更多信息,其中EMV 交易数据被盗,并最终用于迎合盗刷者的需求。地下商店出售。
“在这次数据泄露中被盗的支付卡已在暗网上出售,”双子座解释道。 “发现该漏洞后不久,多家金融机构证实,在此次违规事件中受损的银行卡已按照EMV 进行处理,并且不依赖磁条作为备份。”
Gemini 表示,已证实最近发生的另一起数据泄露事件(发生在佐治亚州的一家酒类商店)也导致EMV 交易数据出现在出售被盗卡数据的暗网商店中。正如Gemini 和Visa 指出的那样,在这两种情况下,银行适当的iCVV 验证应该会使截获的EMV 数据对诈骗者毫无用处。
Gemini 确定,由于受影响的商店数量众多,参与这些数据泄露的窃贼极不可能使用物理安装的EMV 卡闪存拦截EMV 数据。
该公司写道:“鉴于这种策略极其不切实际,他们可能会使用不同的技术来远程破坏POS 系统,以便收集足够的EMV 数据用于EMV 旁路克隆。”
Gemini 的研发总监斯塔斯·阿尔福罗夫(Stas Alforov) 表示,不进行这些检查的金融机构可能会失去发现这些卡被用于欺诈的能力。这是因为,许多发行芯片卡的银行可能认为,只要卡用于芯片交易,被克隆并在地下出售的风险就很小。因此,当这些机构寻找欺诈交易模式以确定哪些商户可能受到POS 恶意软件攻击时,他们可能会根本忽略任何基于芯片的支付,而只关注客户刷卡的商户。
Alforov 表示:“卡网络正在抓住这样一个事实,即现在发生了更多基于EMV 的数据泄露事件。” “像大通银行或美国银行这样的大型发卡机构会检查[iCVV 和CVV 之间的不匹配],并会撤销不匹配的交易。但对于一些较小的机构来说,情况显然并非如此。”