针对信用卡的PIN码绕过攻击
💡
原文中文,约3400字,阅读约需8分钟。
📝
内容提要
本文介绍了一种绕过万事达卡交易PIN码验证的攻击方法,通过修改银行卡数据降级验证方式,攻击者可以使用被盗信用卡进行大额购物。攻击利用中继架构和智能手机实施,同时利用用户界面漏洞。研究者已向供应商披露调查结果,并建议发卡机构拒绝离线数据验证失败的交易。
🎯
关键要点
- 研究展示了如何利用完整性保护缺失绕过万事达卡交易的PIN码验证。
- 研究者构建了一个PoC安卓程序,能够修改未受保护的银行卡源数据。
- 攻击者可以将PIN码验证降级为无持卡人验证或纸面签名验证。
- 该攻击利用中继架构和智能手机实施,攻击者通过两部手机进行数据修改。
- 攻击者可以使用被盗信用卡进行大额购物,而无需输入PIN码。
- 研究揭示了EMV协议中的设计缺陷和数字支付方法中的用户界面漏洞。
- EMV生态系统涉及支付网络、金融机构和商家等多个利益相关者。
- 银行采取各种安全措施保护交易,确保网络只接受合法交易。
- EMV支持多种非接触式协议,定义数据元素和数据交换方式。
- 交易过程包括应用选择、同步、持卡人验证和认证授权等步骤。
➡️
