窃取支付卡数据和来自POS系统的销钉很容易
戴尔认为VR将与PCS一样重要
英国地方议会未能对关键的GDPR要求
雇佣新的所有权意味着公共部门客户的“像往常一样”
Windows 10自动浏览器阻止为“儿童”声明Microsoft
世界上最大的“在挪威计划的”数据中心“
Facebook续订寻找难以捉摸的年轻用户与Lifestage
三星:NVME福利现在可以在限制范围内使用
数百万大众汽车可以用无线黑客闯入
遇见警察策略:CCTV镜头通过盒子共享
1Password首次亮相3美元/月的消费者订阅计划
优步,字母自然汽车竞争加热
微软将为每个Windows 10 PC带来全息的“混合现实”
Brother将核心内部应用程序移动到亚马逊云
谷歌的新福克西亚OS可能会接管IOT
卫星宽带光束太阳能Eclipse镜头到数百万
慕尼黑将数据分析投入为“冒险世界”的服务
网络攻击驾驶安全支出的监管和影响
Oracle宣布简化云计算定价模型
Dropbox更改了68米账户记录后更改了密码
Q2中的恶意电子邮件尖峰,报告校样点
Nutanix获得PernixData和Calm.io
Colliers转储Nutanix和粘合性超级融合的FlexPods
您的厨房制造的工艺啤酒现在可以使用Pico
亚马逊Kinesis Analytics让DEVS使用SQL分析实时数据
国家行动者负责大多数网络攻击
打开z波代码可能有助于使IOT HAM
英特尔为汽车和物联网的新Atom芯片可以揭示丑陋的移动过去
谷歌正在Mac,Windows和Linux上杀死Chrome Apps
Tableau点击电力BI为“跌倒”;微软射回
ADMCC显示思科技术的阿布扎比
顶级英国董事缺乏培训来处理网络攻击
Splunk .conf2017:增加多样性需要有意识的转变
嫌疑人在5岁的kernel.org违约中被捕
Microsoft将选项添加到Office测试程序
欧洲投资者返回云,I​​OT和保险部门的大数据
Qualcomm的Snapdragon 821将电源谷歌白日梦手机
改革报告说,在数字犯罪所需的警务改造时需要解决
英国和I技术专业人员的平均工资范围为50,000英镑和75,000英镑
盟友爱尔兰银行将工业和手工分析融为一体以获得边缘
联邦调查局逮捕了据称倾倒有关政府代理人的细节的黑客
英特尔挑战覆盆子PI 3与焦耳董事会
谷歌的3级Android补丁可能会导致混乱
纳斯达克通过Equinix Slough DatacentRe提供股票市场信息
找到BitTorrent客户端分发基于MAC的恶意软件
调查显示,开发人员缺乏安全Devops所需的技能
欧洲联盟国家问题版权法提案
Android 7.0的抵达是反线性 - 这是一个 - 好的
Gartner调查显示PC提升随着企业升级到Windows 10
BBVA上衣Forrester移动银行应用程序图表
您的位置:首页 >电子新闻 >

窃取支付卡数据和来自POS系统的销钉很容易

2021-07-19 11:43:55 [来源]:

近年来袭击零售和酒店业务的许多大型支付卡违规是攻击者感染销售点系统的结果,具有内存刮擦恶意软件。但由于卡读卡器和POS支付应用程序之间缺乏认证和加密,还有更简单的方法来窃取这种数据。

POS系统是专门的计算机。它们通常运行Windows并具有带有针脚垫的键盘,触摸屏,条形码扫描仪和读卡器等外设。他们还安装了专门的付款应用程序来处理事务。

攻击者窃取POS系统支付卡数据的常用方法之一是通过盗窃远程支持凭证或其他技术感染恶意软件。这些恶意软件程序称为内存或RAM刮板,因为当POS系统上的付款应用程序处理时,它们扫描系统的信用卡数据的内存。

但是,周二在拉斯维加斯的BSIDE会议上,安全研究员尼尔·瓦尔特曼和帕特里克沃森,来自美国的POS和ATM制造商NCR,展示了一个隐秘和更有效的攻击技术,这些技术适用于包括卡在内的大多数“支付互动点”读者有针脚垫甚至是气泵支付终端。

所有这些设备共享的主要问题是,在将数据发送回POS支付软件时,他们不会使用身份验证和加密。这将它们通过挖掘网络或串行连接或通过“垫片软件”运行POS系统本身的外部设备向中间设备通往中间人攻击。

对于他们的演示,研究人员使用了一个带有流量捕获软件的Raspberry PI设备,可以点击PIN垫之间的数据电缆和带支付应用程序模拟器的笔记本电脑。针脚垫有定制顶盖,以隐藏其制作和型号;由于其中许多受到影响,研究人员并没有想拨出特定的供应商。

虽然DEMO使用了可以由内部人员或者摆在技术人员的人安装的外部设备,但攻击者也可以简单地修改付款应用程序的DLL(动态链接库)文件,以便在OS本身内进行数据拦截,如果他们获得远程访问它。由合法支付软件加载的修改DLL可以比记忆刮擦恶意软件更难检测到更难检测到。

卢西安康斯坦丁

研究人员Patrick Watson和Nir Valtman导致支付终端显示假重新输入引脚提示。

NCR研究人员认为,不仅可以攻击者可以使用这种攻击技术窃取在卡片的磁条上编码的数据,这可以用于克隆它,但它们也可以欺骗持卡人暴露其PIN号甚至安全代码打印在卡片背面。

通常,引脚焊盘在将PIN号传输到POS软件时会进行加密。这是一个行业要求和制造商遵守它。

但是,中间人攻击者还可以通过上传所谓的自定义表单来注入针垫屏幕上的流氓提示。这些屏幕提示可以说攻击者想要的任何东西,例如“重新输入PIN”或“输入卡安全代码”。

安全专业人员可能知道他们“从未重新进入他们的引脚或卡片安全代码,也称为CVV2S,只需要在线,卡不当前的交易,但常规消费者通常不会知道这些东西研究人员说。

事实上,他们证明了这一攻击方法从普遍支付行业的专业人士,他们说,其中90%并不怀疑PIN重新入境屏幕。

一些针脚垫有白名单,限制定制屏幕上可以出现哪些单词,但是这些白名单中的许多人允许单词“请重新进入”,即使它们不在那里的方式绕过过滤器作为针脚垫定制表单允许图像。攻击者可以使用与通常出现在屏幕上的相同文本颜色和字体来使用这些单词注入图像。

它还值得注意的是,此攻击对符合EMV标准的卡读卡器和引脚焊盘作品,这意味着它们支持支持芯片的卡片。EMV技术不会阻止攻击者从支持芯片的卡中使用被盗的轨道数据来创建克隆,并在一个不支持EMV的国家/地区的国家/地区使用它,而不是启用EMV的终端,并且只允许卡滑动。

此外,EMV对电子商务交易没有带来的,因此,如果攻击者获得卡的轨道数据和卡的CVV2代码,他们就可以在线执行欺诈交易所需的所有信息。

对于制造商来说,研究人员建议实施点对点加密(P2PE),该加密(P2PE)将从PIN键加密的整个连接一直返回支付处理器。如果P2PE无法在现有硬件上实现,则供应商至少应考虑使用TLS(传输层安全性)和POS软件之间的通信,并以通过支付应用程序数字签名签名发送回针垫的所有请求。

同时,如果提示这样做,消费者永远不会在针脚上重新进入销钉。它们还应读取屏幕上显示的消息,并对那些要求提供更多信息的消息。在可能的情况下,应该使用与Apple Pay等数字钱包服务的移动支付,因为此时他们比使用传统的付款终端更安全。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。