窃取支付卡数据和来自POS系统的销钉很容易
近年来袭击零售和酒店业务的许多大型支付卡违规是攻击者感染销售点系统的结果,具有内存刮擦恶意软件。但由于卡读卡器和POS支付应用程序之间缺乏认证和加密,还有更简单的方法来窃取这种数据。
POS系统是专门的计算机。它们通常运行Windows并具有带有针脚垫的键盘,触摸屏,条形码扫描仪和读卡器等外设。他们还安装了专门的付款应用程序来处理事务。
攻击者窃取POS系统支付卡数据的常用方法之一是通过盗窃远程支持凭证或其他技术感染恶意软件。这些恶意软件程序称为内存或RAM刮板,因为当POS系统上的付款应用程序处理时,它们扫描系统的信用卡数据的内存。
但是,周二在拉斯维加斯的BSIDE会议上,安全研究员尼尔·瓦尔特曼和帕特里克沃森,来自美国的POS和ATM制造商NCR,展示了一个隐秘和更有效的攻击技术,这些技术适用于包括卡在内的大多数“支付互动点”读者有针脚垫甚至是气泵支付终端。
所有这些设备共享的主要问题是,在将数据发送回POS支付软件时,他们不会使用身份验证和加密。这将它们通过挖掘网络或串行连接或通过“垫片软件”运行POS系统本身的外部设备向中间设备通往中间人攻击。
对于他们的演示,研究人员使用了一个带有流量捕获软件的Raspberry PI设备,可以点击PIN垫之间的数据电缆和带支付应用程序模拟器的笔记本电脑。针脚垫有定制顶盖,以隐藏其制作和型号;由于其中许多受到影响,研究人员并没有想拨出特定的供应商。
虽然DEMO使用了可以由内部人员或者摆在技术人员的人安装的外部设备,但攻击者也可以简单地修改付款应用程序的DLL(动态链接库)文件,以便在OS本身内进行数据拦截,如果他们获得远程访问它。由合法支付软件加载的修改DLL可以比记忆刮擦恶意软件更难检测到更难检测到。
卢西安康斯坦丁研究人员Patrick Watson和Nir Valtman导致支付终端显示假重新输入引脚提示。
NCR研究人员认为,不仅可以攻击者可以使用这种攻击技术窃取在卡片的磁条上编码的数据,这可以用于克隆它,但它们也可以欺骗持卡人暴露其PIN号甚至安全代码打印在卡片背面。
通常,引脚焊盘在将PIN号传输到POS软件时会进行加密。这是一个行业要求和制造商遵守它。
但是,中间人攻击者还可以通过上传所谓的自定义表单来注入针垫屏幕上的流氓提示。这些屏幕提示可以说攻击者想要的任何东西,例如“重新输入PIN”或“输入卡安全代码”。
安全专业人员可能知道他们“从未重新进入他们的引脚或卡片安全代码,也称为CVV2S,只需要在线,卡不当前的交易,但常规消费者通常不会知道这些东西研究人员说。
事实上,他们证明了这一攻击方法从普遍支付行业的专业人士,他们说,其中90%并不怀疑PIN重新入境屏幕。
一些针脚垫有白名单,限制定制屏幕上可以出现哪些单词,但是这些白名单中的许多人允许单词“请重新进入”,即使它们不在那里的方式绕过过滤器作为针脚垫定制表单允许图像。攻击者可以使用与通常出现在屏幕上的相同文本颜色和字体来使用这些单词注入图像。
它还值得注意的是,此攻击对符合EMV标准的卡读卡器和引脚焊盘作品,这意味着它们支持支持芯片的卡片。EMV技术不会阻止攻击者从支持芯片的卡中使用被盗的轨道数据来创建克隆,并在一个不支持EMV的国家/地区的国家/地区使用它,而不是启用EMV的终端,并且只允许卡滑动。
此外,EMV对电子商务交易没有带来的,因此,如果攻击者获得卡的轨道数据和卡的CVV2代码,他们就可以在线执行欺诈交易所需的所有信息。
对于制造商来说,研究人员建议实施点对点加密(P2PE),该加密(P2PE)将从PIN键加密的整个连接一直返回支付处理器。如果P2PE无法在现有硬件上实现,则供应商至少应考虑使用TLS(传输层安全性)和POS软件之间的通信,并以通过支付应用程序数字签名签名发送回针垫的所有请求。
同时,如果提示这样做,消费者永远不会在针脚上重新进入销钉。它们还应读取屏幕上显示的消息,并对那些要求提供更多信息的消息。在可能的情况下,应该使用与Apple Pay等数字钱包服务的移动支付,因为此时他们比使用传统的付款终端更安全。