如何通過(guò)盜取EMV卡的數(shù)據(jù),讓ATM機(jī)吐出5萬(wàn)美元
兩名研究人員在2016美國(guó)黒帽大會(huì)上(Black Hat USA 2016 )推出了一種新的信用卡中間人攻擊,能夠在POS或ATM上攔截信用卡信息甚至PIN(個(gè)人信息認(rèn)證密碼)和CVV碼(后三碼)。
這兩名來(lái)自NCR公司的研究人員(Nir Valtman和Patrick Watson)現(xiàn)場(chǎng)展示了他們的研究成果,讓一臺(tái)ATM機(jī)15分鐘內(nèi)吐出了50000美金。
他們?cè)嬲]生產(chǎn)EMV卡芯片的廠商必須給添加額外的保護(hù)層防止芯片密碼像之前的磁條卡一樣容易被克隆。但是沒(méi)有產(chǎn)商理會(huì)他們的建議。
攻擊同時(shí)建立在硬件和軟件之上
在兩名研究員的演示中需要用到一個(gè)叫Shimmer的工具,是在ATM上完成中間人攻擊的硬件擔(dān)當(dāng)。犯罪者在ATM機(jī)的讀卡器上安裝這塊名為Shimmer的小玩意,當(dāng)“受害者”把信用卡插進(jìn)ATM機(jī),ATM機(jī)讀卡的同時(shí),Shimmer會(huì)將截獲的數(shù)據(jù)實(shí)時(shí)傳輸給犯罪者,獲取的信息包括卡號(hào),持卡人姓名,芯片密碼和PIN。隨后犯罪者就能用智能手機(jī)下載偷到的數(shù)據(jù),偽造一個(gè)受害者的信用卡,就能到ATM上去取錢(qián)了。
據(jù)Tod Beardsley(Rapid7的安全研究經(jīng)理)向BBC電視透露:
Shimmer是一種掃描EMV卡(Europay、MasterCard和Visa)的設(shè)備,能夠輕易地從取款器外部安裝,不需要拆開(kāi)ATM機(jī)。
研究人員介紹說(shuō):
由于Shimmer位置隱蔽,很有可能在被害者合法交易的過(guò)程中再次截獲到用戶(hù)的PIN甚至是CVV(信用卡的安全碼)
不幸中的萬(wàn)幸,EMV卡所啟用的交易數(shù)據(jù)是動(dòng)態(tài)的,這意味著犯罪者必須在一段很短的時(shí)間內(nèi)完成取款(例如一分鐘)。
希望廠商這次能夠重視EMV的芯片問(wèn)題。