Visa卡漏洞使接触式限制旁路
安全公司的研究人员积极技术是签证卡中漏洞的警告,可用于窃取从账户,敦促银行和客户采取预防措施的无限制。
研究人员Leigh-Anne Galloway和Timur Yunusov能够利用vistnerabiltiies来绕过英国五大银行测试中的Visa非接触卡上的验证限额。
无论卡码头如何,他们都能够绕过所有测试的签证卡上的英国非接触式验证限额为30英镑。研究人员还发现,在英国外面的卡片和终端,这种攻击是可能的。
正技术表示,发现的结果很重要,因为非接触式支付验证限额用于限制欺诈损失。
研究人员表示,旁路通过操作在非接触式支付期间在卡和终端之间交换的两个检查。
第一个旨在阻止大于30英镑的即时支付,第二个旨在从持卡人预订持续验证,如果所请求的金额高于阈值,例如在手机上输入卡个人识别号码引脚或指纹认证。
研究人员发现,可以使用拦截卡与支付终端之间的通信的设备绕过这些检查。该设备作为中间(MITM)攻击中所谓的男人所谓的代理。
该设备告诉该卡,即使金额大于30英镑,也不需要验证。然后,该设备告诉终端已经通过另一种方法进行了验证。
这次攻击是可能的,因为签证是2018年缺陷的签证,仍然不要求发行人和收购者在没有提出最低验证的情况下阻止支付。
此次攻击也可以使用诸如GPay等移动钱包进行的,其中签证卡已添加到钱包中。研究人员发现,在这种情况下,在这种情况下可以在不解锁手机的情况下收取高达30英镑的欺诈手机,而无需解锁手机。
根据英国财务,与2017年,使用非接触式支付的交易持续了2018年增加了31%。仅在2019年2月,英国人制作了64400万个非接触式交易,价值59亿英镑,比前一年同期增长20.6%。
非接触式支付的使用正在增加,但PS欺诈是英国的国家欺诈报告服务,揭示了2018年非接触式用户的欺诈者偷了1.18万英镑,从2017年的711,000英镑。
研究人员表示,脆弱性的发现强调了发行银行的额外保障的重要性,这不应依靠签证来提供安全的付款议定书。相反,发行人应该有自己的措施来检测和阻止这种攻击矢量和其他支付攻击,“他们说。
“支付行业认为,非接触式付款受到他们所建立的保障的保护,但事实是,非接触欺诈正在增加,”积极技术的银行保障负责人蒂姆·云斯科夫说。
“虽然它是一个相对较新的欺诈行为,可能不是银行目前的首要任务,如果可以轻易绕过非接触式验证限额,这意味着我们可以看到对银行和客户的损失更加破坏。”
研究人员建议,无与伦比的卡用户在监测他们的银行账户报表时需要警惕,以便早期捕获欺诈行为,如果有银行提供,则实施额外的安全措施,例如付款验证限额和短信通知等安全措施。
“它落到了客户和银行保护自己,”在积极技术的网络安全性弹性头部leigh-anne加洛韦说。
“虽然某些终端有随机检查,但这些终端必须由商家编程,因此它完全落到了他们的自由裁量权。因此,我们可以期望看到非接触的欺诈继续上升。
“发行人需要更好地执行自身的无接触和增加行业标准规则。犯罪分子将永远倾向于迅速获得资金的更方便的方式,因此我们需要使其尽可能困难地破解接触,“她说。
2018年9月,Moneysupermarket研究揭示了对非接触技术的安全问题。比较网站调查了超过2,000人,55%的人担心Tap-Go Technology的安全性。
银行正在尝试各种其他类型的技术,以满足良好的用户体验。
2019年3月,计算机每周报告说,Natwest已启动配备生物识别技术的支付卡试验,从而增加了30英镑以上的非接触支付。
在接收新卡时,客户将能够存储和激活基于指纹的验证本身。一旦该功能处于活动状态,如果客户将手指放在存储生物信息存储的卡角上,则会在30英镑以上的非接触式支付,而无需进入其PIN。