兩名研究人員在2016美國黒帽大會上(black hat usa 2016 )推出了一種新的信用卡中間人攻擊,能夠在pos或atm上攔截信用卡資訊甚至pin(個人資訊認證密碼)和cvv碼(後三碼)。
這兩名來自ncr公司的研究人員(nir valtman和patrick watson)現場展示了他們的研究成果,讓一台atm機15分鐘内吐出了50000美金。
他們曾告誡生産emv卡晶片的廠商必須給添加額外的保護層防止晶片密碼像之前的磁條卡一樣容易被克隆。但是沒有産商理會他們的建議。
攻擊同時建立在硬體和軟體之上
在兩名研究員的示範中需要用到一個叫shimmer的工具,是在atm上完成中間人攻擊的硬體擔當。犯罪者在atm機的讀卡器上安裝這塊名為shimmer的小玩意,當“受害者”把信用卡插進atm機,atm機讀卡的同時,shimmer會将截獲的資料實時傳輸給犯罪者,擷取的資訊包括卡号,持卡人姓名,晶片密碼和pin。随後犯罪者就能用智能手機下載下傳偷到的資料,僞造一個受害者的信用卡,就能到atm上去取錢了。
據tod beardsley(rapid7的安全研究經理)向bbc電視透露:
shimmer是一種掃描emv卡(europay、mastercard和visa)的裝置,能夠輕易地從取款器外部安裝,不需要拆開atm機。
研究人員介紹說:
由于shimmer位置隐蔽,很有可能在被害者合法交易的過程中再次截獲到使用者的pin甚至是cvv(信用卡的安全碼)
不幸中的萬幸,emv卡所啟用的交易資料是動态的,這意味着犯罪者必須在一段很短的時間内完成取款(例如一分鐘)。
希望廠商這次能夠重視emv的晶片問題。
作者:bimeover
來源:51cto