黑客如何入侵你的芯片和PIN信用卡

学无止境 lv.1

发布时间：2022-05-13 16:46:39 464

相关标签： # 漏洞# 研究# 技术# 支付# 扫描

现在，一组法国法医研究人员检查了一个现实世界中的案例，在这个案例中，犯罪分子玩得很聪明，他们用一张塑料纸片做了一个无缝的芯片切换把戏，与普通信用卡完全相同。

来自美国的研究人员高等师范大学还有中国科学技术研究院对该主题进行了综合研究，发表了一篇研究论文[PDF]，详细介绍了他们分析的一个独特的信用卡诈骗案。

怎么回事？

在2011年和2012年，警方逮捕了五名涉嫌犯罪的法国公民盗窃约60万欧元（约合68万美元）由于卡欺诈计划，尽管芯片和PIN卡受到保护。

在调查该案件时，研究人员发现，现在被定罪的罪犯实际上修改了被盗的信用卡，将第二个芯片插入其中，即：

能够欺骗发送到销售点（POS）终端的卡的PIN验证。

奇怪的是，研究人员使用显微镜分析和X射线扫描来查看芯片和pin卡被篡改的位置。

欺诈者利用芯片和PIN系统中的一个众所周知的漏洞进行了一次“欺诈”中间人“（MITM）攻击。

该漏洞是芯片卡和Pin卡中的一个已知协议漏洞，2006年，该漏洞允许罪犯在不知道卡的Pin的情况下使用正版卡进行支付。

另请阅读：智能自动取款机提供无卡取款服务，以避免刷卡。

该漏洞实际上利用了卡片和读卡器之间的通信方式。

第二个爱好者芯片(被称为FUNcard)-欺诈者插入卡的原始芯片-接受任何PIN输入。

以下是方法：

典型的EMV交易包括三个步骤：

当买家插入修改后的卡时，原始芯片可以正常响应卡认证。但是，在持卡人授权期间，POS系统会要求输入PIN。

在这种情况下，欺诈者可以使用任何PIN码进行响应，欺诈芯片将发挥作用，并将产生一个“是”信号，无论小偷输入了什么随机PIN码。

“无论代码是什么，攻击者都会截获PIN查询并回复它是正确的，”ENS研究员雷米·格拉德说。“这是攻击的核心。”

好的方面是：欺诈者泄露的漏洞已经修复；至少在欧洲，研究人员拒绝详细说明新的安全措施。

网络犯罪分子将背包装置缩小为一个小型的趣味卡芯片，这是一种廉价的可编程设备，供DIY爱好者使用。

芯片的大小并不比信用卡中使用的常规安全芯片大。这可能会将芯片厚度从0.4mm增加到0.7mm，但在插入PoS系统时完全可行。

现在被定罪的罪犯偷了信用卡，然后从他们身上取出芯片，将其焊接到趣味卡芯片上，并将两个芯片背靠背地固定在另一张被盗卡的塑料主体上。

结果是一个强大的装置，欺诈者随后用它把受害者的钱都花光了。

“它足够小，他们可以把整个攻击放在卡中，并用它在商店里买东西…；把它放进读卡器会有点困难，但不会太难，以至于你会怀疑任何东西，”盖罗做到了。“这很聪明，很难被发现，有一段时间他们设法躲过了发现。”

研究人员无法对芯片和pin卡上的数据进行全面拆卸或进行任何测试，因此他们使用了X射线扫描。

另请阅读：如何冻结信用报告以保护自己免受身份盗窃。

研究人员对其中一个设备（伪造信用卡）进行了非侵入性X射线扫描，在此之前，他们在内部芯片上发现了一个隐藏的FUNcard徽标。

然后，他们通过分析芯片插入读卡器时的电力分配方式，对伪造卡的计算活动进行反向工程；卡的使用时间显示了一个中间人攻击的发生。

特别声明：以上内容（图片及文字）均为互联网收集或者用户上传发布，本站仅提供信息存储服务！如有侵权或有涉及法律问题请联系我们。