正面技术研究人员发现的Visa漏洞

Positive Technologies今天宣布，研究人员Leigh-Anne Galloway和Timur Yunusov发现了一些漏洞，允许黑客绕过Visa非接触式卡的支付限额。

Positive Technologies对五家主要的英国银行进行了此次攻击测试，成功绕过所有经过测试的Visa卡的英国非接触式验证限制30英镑，与卡终端无关。研究人员还发现，英国以外的卡和终端可以进行这种攻击。这些调查结果非常重要，因为非接触式支付验证限制用于防范近年来不断增加的欺诈性损失。

该攻击通过操纵在非接触式支付期间在卡和终端之间交易所的两个数据字段来工作。主要在英国，如果付款需要额外的持卡人验证（英国支付超过30英镑所需），卡将回答“我不能这样做”，这可以防止超过此限额付款。其次，终端使用国家特定设置，其要求卡或移动钱包提供对持卡人的额外验证，例如通过在电话上输入卡PIN或指纹认证。

Positive Technologies发现，使用拦截卡和支付终端之间通信的设备可以绕过这两种检查。该设备充当代理，并且已知用于中间人（MITM）攻击。首先，设备告诉卡，即使金额超过30英镑，也不需要验证。然后，设备告诉终端已经通过其他方式进行了验证。这种攻击是可能的，因为Visa不要求发卡机构和收单机构在没有提供最低限度验证的情况下进行阻止付款的检查。

攻击也可以使用GPay等移动钱包进行，其中Visa卡已添加到钱包中。在这里，甚至可以在不解锁手机的情况下欺诈性地充电至30英镑。

根据英国金融协会的数据，非接触式卡和设备的欺诈行为从2016年的670万英镑增加到2017年的1400万英镑.2018年上半年，非接触式欺诈损失了840万英镑。优势技术的发现凸显了额外安全的重要性来自开证行，不应该依赖Visa来提供安全的付款协议。相反，发行人应该有自己的措施来检测和阻止这种攻击媒介和其他支付攻击。

“支付行业认为非接触式支付受到他们实施的保障措施的保护，但事实是非接触式欺诈正在增加，”Positive Technologies银行业务安全负责人Tim Yunusov表示。 “虽然这是一种相对较新的欺诈行为，可能不是银行目前的首要任务，如果可以轻易绕过非接触式验证限制，这意味着我们可以看到银行及其客户遭受更多破坏性损失。”

研究人员建议，非接触式卡用户需要保持警惕，监控他们的银行账户报表以尽早发现欺诈行为，如果可以与他们的银行一起使用，则实施其他安全措施，如支付验证限制和短信通知。

“这取决于客户和银行保护自己，”Positive Technologies网络安全恢复主管Leigh-Anne Galloway说。 “虽然一些终端有随机检查，但这些必须由商家编程，因此完全由他们自行决定。正因为如此，我们可以预期看到非接触式欺诈继续上涨。发行人需要更好地执行他们自己的非接触式规则并提高行业标准。犯罪分子总是倾向于以更方便的方式快速获取资金，所以我们需要尽可能地让非接触式破解。“

针对Positive Technologies的调查结果，OneSpan产品安全总监Frederik Mennes评论说。

“这种攻击要求对手操纵支付终端和支付卡之间的数据流，这要求它们非常靠近终端和支付卡，这限制了攻击的可扩展性。实施攻击的最实用方法可能是在终端上添加一个扩展，作为终端和卡之间的中间人。扩展应该看起来好像它是终端的真正部分，这类似于对基于磁条的支付卡的略读攻击，其中假终端用于读取卡的磁条的内容。

银行，商家和消费者应该采取以下措施来防止此类攻击：

• 银行应该分析他们处理的所有付款的金融交易，并尝试尽可能地识别欺诈交易
• 商家应定期检查其付款终端，并确保没有延期。消费者还应该寻找支付终端的奇怪补充。
• 消费者应将支付卡存放在放映钱包中，以免无意中阅读。他们还应该为新付款启用短信通知，如果他们发现可疑付款，请立即联系他们的银行。“

请关注并喜欢我们：