网站首页
手机版

你的芯片卡安全吗?这可能主要取决于你的银行账户,芯片卡的安全性

更新时间:2024-03-30 12:53作者:小乐

知名安全网站KrebsOnSecurity最近发表文章称,基于芯片的信用卡和借记卡的设计使得当你通过浸入芯片而不是刷卡条进行支付时,盗读设备或恶意软件无法克隆你的卡。但最近针对美国商家的一系列恶意软件攻击表明,窃贼正在利用一些金融机构实施该技术的弱点,绕过关键的芯片卡安全功能,并有效地制造可用的伪造卡。

传统支付卡将持卡人的账户数据以纯文本形式编码在磁条上,这些数据可以被窃取设备或秘密安装在支付终端上的恶意软件读取和记录。然后,这些数据可以用磁条编码到其他任何东西上,并用于进行欺诈交易。

较新的基于芯片的卡使用一种称为EMV 的技术来加密存储在芯片中的帐户数据。该技术会在每次芯片卡与支持芯片的支付终端交互时生成一个独特的加密密钥(称为令牌或“密码”)。

事实上,所有基于芯片的卡仍然具有许多相同的数据,这些数据存储在卡背面磁条上编码的芯片中。这主要是出于向后兼容性的原因,因为许多商家(尤其是美国的商家)仍然没有完全实现芯片卡读卡器。如果卡的芯片或商家的EMV 终端因某种原因出现故障,这种双重功能还允许持卡人刷磁条。

但EMV芯片上存储的持卡人数据与磁条上存在重要区别。其中之一是芯片中的一个组件,称为集成电路卡验证值,简称“iCVV”,也称为“动态CVV”。 iCVV 与存储在物理磁条上的卡验证值(CVV) 不同,它可以防止磁条数据从芯片中复制并用于制造假冒磁条卡。 iCVV 和CVV 值均独立于卡背面清晰印制的三位数安全码,主要用于电子商务交易或通过电话进行卡验证。

EMV方法的魅力在于,即使盗刷器或恶意软件在芯片卡被浸泡时成功拦截了交易信息,该数据也仅对本次交易有效,不应让窃贼继续使用它进行欺诈性支付。

然而,为了使EMV安全保护有效,发卡金融机构部署的后端系统应检查当芯片卡浸入芯片读卡器时,仅显示iCVV;反之,刷卡时只显示CVV。如果这些与交易类型在某些方面不一致,金融机构应拒绝该交易。

问题是,并非所有金融机构都以这种方式正确设置系统。毫不奇怪,窃贼多年来就知道这个弱点。 2017 年,布莱恩·克雷布斯(Brian Krebs) 撰文介绍了“flickers”日益流行的情况,这是一种用于拦截芯片卡交易数据的高科技银行卡盗取设备。

最近,Cyber RD Labs 的研究人员发表了一篇论文,详细介绍了他们如何测试来自欧洲和美国10 家不同银行的11 种芯片卡实现。研究人员发现他们可以从其中4 张芯片卡中提取数据。捕获数据并创建克隆磁条卡并成功用于进行交易。

现在有强有力的迹象表明,销售点(POS) 恶意软件正在使用Cyber RD 实验室详述的相同方法来捕获EMV 交易数据,然后将其转售并用于创建芯片的磁条副本-为基础的卡片。

本月早些时候,全球最大的支付卡网络Visa 就最近发生的一起商户违规行为发布了安全警报,其中已知的POS 恶意软件家族显然被修改为针对EMV 芯片POS 终端。

“EMV 芯片等安全接受技术的实施,显着降低了威胁行为者获取支付账户数据的可能性,因为可用数据仅包括个人账号(PAN)、集成电路卡验证值(iCVV) 和有效期日期,”维萨写道。 “因此,只要iCVV 得到正确验证,假冒欺诈的风险就很小。此外,许多商户地点都采用了点对点加密(P2PE),对PAN数据进行加密,进一步降低了使用EMV芯片处理的支付账户的风险。 ”

Visa 没有透露受影响商家的名称,但美国东北部的连锁超市Key Food Stores Co-Operative Inc. 似乎也发生了类似的情况。 Key Food 最初于2020 年3 月披露了银行卡数据泄露事件,但两周前更新了公告,澄清EMV 交易数据也被拦截。

“相关商店的POS 设备支持EMV,”Key Food 解释道。 “对于这些地点的EMV 交易,我们相信恶意软件只会发现卡号和到期日期(而不是持卡人姓名或内部验证码)。”

虽然Key Food 的声明在技术上可能是准确的,但它掩盖了这样一个事实:如果发卡银行没有正确实施EMV,欺诈者仍然可以使用被盗的EMV 数据来创建磁条版本的EMV。该卡出现在受感染的商店收银机上。

在此之前,欺诈情报公司Gemini Advisory 发表了一篇博文,提供了有关近期商家违规行为(包括Key Food)的更多信息,其中EMV 交易数据被盗,并最终用于迎合盗刷者的需求。地下商店出售。

“在这次数据泄露中被盗的支付卡已在暗网上出售,”双子座解释道。 “发现该漏洞后不久,多家金融机构证实,在此次违规事件中受损的银行卡已按照EMV 进行处理,并且不依赖磁条作为备份。”

Gemini 表示,已证实最近发生的另一起数据泄露事件(发生在佐治亚州的一家酒类商店)也导致EMV 交易数据出现在出售被盗卡数据的暗网商店中。正如Gemini 和Visa 指出的那样,在这两种情况下,银行适当的iCVV 验证应该会使截获的EMV 数据对诈骗者毫无用处。

Gemini 确定,由于受影响的商店数量众多,参与这些数据泄露的窃贼极不可能使用物理安装的EMV 卡闪存拦截EMV 数据。

该公司写道:“鉴于这种策略极其不切实际,他们可能会使用不同的技术来远程破坏POS 系统,以便收集足够的EMV 数据用于EMV 旁路克隆。”

Gemini 的研发总监斯塔斯·阿尔福罗夫(Stas Alforov) 表示,不进行这些检查的金融机构可能会失去发现这些卡被用于欺诈的能力。这是因为,许多发行芯片卡的银行可能认为,只要卡用于芯片交易,被克隆并在地下出售的风险就很小。因此,当这些机构寻找欺诈交易模式以确定哪些商户可能受到POS 恶意软件攻击时,他们可能会根本忽略任何基于芯片的支付,而只关注客户刷卡的商户。

Alforov 表示:“卡网络正在抓住这样一个事实,即现在发生了更多基于EMV 的数据泄露事件。” “像大通银行或美国银行这样的大型发卡机构会检查[iCVV 和CVV 之间的不匹配],并会撤销不匹配的交易。但对于一些较小的机构来说,情况显然并非如此。”

为您推荐

美国EB1C—“免排期”的美国移民签证

想要申请美国永久居留权,申请人可以有很多种选择,但不同的申请途径有特定的适合群体。根据《美国移民和国籍法》规定,主要有四种移民签证类别,分别是FB(基于家庭),EB(基于职业/就业),彩票(DV,多元化签证)和其他(包括保护难民和促进多样性

2024-03-30 12:42

资深美国移民律师讲解:表B \u0026 NVC,申请绿卡不可不知的小知识 美国绿卡申请表格

表B日期到后,国家签证中心(NVC, National Visa Center)会给优先日已到的投资人发放 Case Number(案件号、档案号),以及收据。收到收据后,投资人可以在 NVC 国家签证中心的官网,请自己的律师,或者自己的文

2024-03-30 12:32

环球出国与美国知名律所达成又一深度合作,环球律师事务所分所有哪些?

随着美国移民的热度不断走高,环球出国为了更好的服务签约客户,与美国顶尖移民律所Darren Silver&Associates, LLP达成深度合作,一起为申请美国EB1A杰出人才移民、美国NIW高技术移民的高精尖人才保驾护航。Darren

2024-03-30 12:17

结婚移民拿到绿卡后,如何为孩子申请绿卡??子女拿到绿卡为父母办理移民

结婚移民是一种常见的方式,允许外国国籍的个人通过婚姻关系获得美国永久居民身份(绿卡)。一旦获得绿卡,许多申请人都希望了解如何为他们的孩子申请绿卡。本文将详细解释结婚移民后如何为孩子申请绿卡,以及相关的步骤和要求。步骤一:确认孩子的资格在考虑

2024-03-30 12:08

美国职业移民2023年10月签证排期 双表大幅前进(美国职业移民排期最新)

重磅利好消息,10月排期出炉,职业移民EB1~5各个类别AB双表均有大幅前进,尤为EB3,将近一年半的大跃进!!同为人口基数大国的印度排期也实现大跨度的跳跃,EB1从上个月的10年排期缩减至2017年,并且第一优先类别不再存有国际排期,具体

2024-03-30 11:58

护士移民美国:如何加速排期,护士移民加拿大条件

美国移民主要分分为2部分:一部分是亲属类 FB一部分是职业类 EB亲属类F1 公民的未婚子女 21岁以上F2A PR永久居民的配偶和未婚子女 21岁以上F2B永久居民的未婚成年子女 21岁以上F3 公民的成年已婚子女F4 公民的直系兄弟姐妹

2024-03-30 11:49

加载中...

热门文章

SQL Error: select * from ***_ecms_news where titlepic<>'' order by onclick desc limit 1
    SQL Error: select * from ***_ecms_news order by onclick desc limit 1,7

热门推荐

SQL Error: select * from ***_ecms_news where titlepic<>'' and istop=1 order by newstime desc limit 5