知名安全網(wǎng)站 KrebsOnSecurity近日發(fā)文稱，以芯片為基礎(chǔ)的信用卡和借記卡的設(shè)計(jì)，是為了讓盜刷設(shè)備或惡意軟件無(wú)法在你通過(guò)蘸取芯片而非刷卡條付款時(shí)克隆你的卡。但最近一系列針對(duì)美國(guó)商戶的惡意軟件攻擊表明，盜賊正在利用某些金融機(jī)構(gòu)實(shí)施該技術(shù)的弱點(diǎn)，繞過(guò)關(guān)鍵的芯片卡安全功能，有效地制造可用的偽卡。

傳統(tǒng)的支付卡將持卡人的賬戶數(shù)據(jù)以純文本形式編碼在磁條上，磁條可以被竊取設(shè)備或偷偷安裝在支付終端上的惡意軟件讀取和記錄。然后，這些數(shù)據(jù)可以被編碼到任何其他帶有磁條的東西上，并用于進(jìn)行欺詐性交易。

較新的基于芯片的卡采用了一種被稱為EMV的技術(shù)，對(duì)存儲(chǔ)在芯片中的賬戶數(shù)據(jù)進(jìn)行加密。該技術(shù)導(dǎo)致每次芯片卡與芯片功能的支付終端交互時(shí)，都會(huì)產(chǎn)生一個(gè)獨(dú)特的加密密鑰--稱為令牌或 "cryptogram"。

實(shí)際上，所有基于芯片的卡片仍然有很多相同的數(shù)據(jù)，這些數(shù)據(jù)存儲(chǔ)在卡片背面的磁條上編碼的芯片中。這主要是出于向后兼容性的考慮，因?yàn)樵S多商家--尤其是美國(guó)的商家--仍然沒(méi)有完全實(shí)現(xiàn)芯片卡讀卡器。這種雙重功能還允許持卡人在卡的芯片或商家的EMV終端因某種原因發(fā)生故障時(shí)，可以刷磁條。

但EMV芯片與磁條上存儲(chǔ)的持卡人數(shù)據(jù)有重要區(qū)別。其中之一是芯片中的一個(gè)被稱為集成電路卡驗(yàn)證值或簡(jiǎn)稱 "iCVV "的組件--也被稱為 "動(dòng)態(tài)CVV"。iCVV不同于存儲(chǔ)在物理磁條上的卡驗(yàn)證值(CVV)，它可以防止從芯片中復(fù)制磁條數(shù)據(jù)，并利用這些數(shù)據(jù)制造偽造的磁條卡。iCVV和CVV值都與卡背面明顯印制的三位數(shù)安全碼無(wú)關(guān)，主要用于電子商務(wù)交易或通過(guò)電話進(jìn)行卡片驗(yàn)證。

EMV方式的魅力在于，即使有盜刷者或惡意軟件成功攔截到芯片卡浸泡時(shí)的交易信息，這些數(shù)據(jù)也只對(duì)這一次交易有效，應(yīng)該不會(huì)讓盜賊繼續(xù)用它進(jìn)行欺詐性支付。

然而，為了讓EMV的安全保護(hù)措施發(fā)揮作用，發(fā)卡金融機(jī)構(gòu)部署的后端系統(tǒng)應(yīng)該檢查當(dāng)芯片卡浸入芯片讀卡器時(shí)，只出示iCVV；反之，刷卡時(shí)只出示CVV。如果這些在某種程度上與某一交易類型不一致，金融機(jī)構(gòu)就應(yīng)該拒絕該交易。

問(wèn)題是，并不是所有的金融機(jī)構(gòu)都以這種方式正確地設(shè)置了他們的系統(tǒng)。不足為奇的是，盜賊多年來(lái)一直知道這個(gè)弱點(diǎn)。2017年，Brian Krebs 曾寫過(guò)一篇關(guān)于 "閃爍器 "日益盛行的文章，這是一種為攔截芯片卡交易數(shù)據(jù)而制作的高科技銀行卡盜刷裝置。

最近，Cyber R&D實(shí)驗(yàn)室的研究人員發(fā)表了一篇論文，詳細(xì)介紹了他們是如何測(cè)試歐洲和美國(guó)10家不同銀行的11種芯片卡實(shí)現(xiàn)的，研究人員發(fā)現(xiàn)他們可以從其中的4種芯片卡中采集數(shù)據(jù)，并創(chuàng)建克隆的磁條卡，并成功地用于放置交易。

現(xiàn)在有強(qiáng)烈的跡象表明，Cyber R&D Labs詳述的同樣的方法正在被銷售終端（POS）惡意軟件用于捕獲EMV交易數(shù)據(jù)，然后可以轉(zhuǎn)售并用于制造基于芯片卡的磁條副本。

本月早些時(shí)候，全球最大的支付卡網(wǎng)絡(luò)Visa發(fā)布了一份安全警報(bào)，內(nèi)容涉及最近發(fā)生的一起商戶泄密事件，已知的POS惡意軟件系列顯然被修改為針對(duì)EMV芯片的POS終端。

“安全接受技術(shù)的實(shí)施，如EMV?芯片，大大降低了威脅行為者對(duì)支付賬戶數(shù)據(jù)的可用性，因?yàn)榭捎脭?shù)據(jù)僅包括個(gè)人賬戶號(hào)碼（PAN），集成電路卡驗(yàn)證值（iCVV）和到期日期，”Visa寫道?！耙虼耍灰猧CVV得到正確的驗(yàn)證，假冒欺詐的風(fēng)險(xiǎn)是最小的。此外，許多商戶所在地采用了點(diǎn)對(duì)點(diǎn)加密(P2PE)，對(duì)PAN數(shù)據(jù)進(jìn)行加密，進(jìn)一步降低了以EMV芯片處理的支付賬戶的風(fēng)險(xiǎn)?！?/p>

Visa沒(méi)有列出受影響商戶的名字，但美國(guó)東北部的連鎖超市Key Food Stores Co-Operative Inc.似乎也發(fā)生了類似的事情。Key Food最初在2020年3月披露了一起銀行卡數(shù)據(jù)泄露事件，但兩周前更新了咨詢，澄清EMV交易數(shù)據(jù)也被截獲。

“涉及的商店地點(diǎn)的POS設(shè)備是啟用EMV的，”Key Food解釋說(shuō)。“對(duì)于這些地點(diǎn)的EMV交易，我們相信只有卡號(hào)和到期日會(huì)被惡意軟件發(fā)現(xiàn)（但不會(huì)發(fā)現(xiàn)持卡人姓名或內(nèi)部驗(yàn)證碼）?！?/p>

雖然Key Food的聲明在技術(shù)上可能是準(zhǔn)確的，但它掩蓋了一個(gè)現(xiàn)實(shí)，即在發(fā)卡銀行沒(méi)有正確實(shí)施EMV的情況下，被竊取的EMV數(shù)據(jù)仍然可以被欺詐者用來(lái)創(chuàng)建磁條版的EMV卡呈現(xiàn)在被入侵的商店收銀機(jī)上。

此前欺詐情報(bào)公司Gemini Advisory發(fā)布了一篇博客文章，提供了更多關(guān)于最近的商戶入侵事件的信息--包括Key Food，在這些事件中，EMV交易數(shù)據(jù)被竊取，并最終在迎合盜卡者的地下商店出售。

“這次數(shù)據(jù)泄露事件中被盜的支付卡在暗網(wǎng)中提供銷售，”Gemini解釋說(shuō)?！霸诎l(fā)現(xiàn)這個(gè)漏洞后不久，幾家金融機(jī)構(gòu)證實(shí)，這次漏洞中被泄露的卡都是按EMV處理的，并沒(méi)有依靠磁條作為備用?！?/p>

Gemini表示，它已經(jīng)核實(shí)最近的另一起數(shù)據(jù)泄露事件--在佐治亞州的一家酒類商店--也導(dǎo)致了被泄露的EMV交易數(shù)據(jù)出現(xiàn)在出售被盜卡數(shù)據(jù)的暗網(wǎng)商店中。正如Gemini和Visa所指出的那樣，在這兩種情況下，銀行適當(dāng)?shù)膇CVV驗(yàn)證應(yīng)該會(huì)使這些被截獲的EMV數(shù)據(jù)對(duì)騙子毫無(wú)用處。

Gemini認(rèn)定，由于受影響的商店數(shù)量眾多，參與這些數(shù)據(jù)泄露事件的盜賊使用物理安裝的EMV卡閃光燈攔截EMV數(shù)據(jù)的可能性極小。

“鑒于這種策略極其不切實(shí)際，他們很可能使用不同的技術(shù)遠(yuǎn)程入侵POS系統(tǒng)，以收集足夠的EMV數(shù)據(jù)來(lái)進(jìn)行EMV旁路克隆，”該公司寫道。

Gemini的研發(fā)總監(jiān)Stas Alforov表示，沒(méi)有進(jìn)行這些檢查的金融機(jī)構(gòu)有可能失去注意到這些卡被用于欺詐的能力。這是因?yàn)樵S多發(fā)行了芯片卡的銀行可能會(huì)認(rèn)為，只要這些卡用于芯片交易，就幾乎不存在這些卡被克隆并在地下出售的風(fēng)險(xiǎn)。因此，當(dāng)這些機(jī)構(gòu)在欺詐交易中尋找模式，以確定哪些商戶可能會(huì)被POS惡意軟件入侵時(shí)，他們可能會(huì)完全不考慮任何基于芯片的支付，而只關(guān)注那些客戶刷過(guò)卡的商戶。

“卡網(wǎng)絡(luò)正在抓住現(xiàn)在有更多基于EMV的數(shù)據(jù)泄露事件發(fā)生這一事實(shí)，”Alforov說(shuō)。“像大通或美國(guó)銀行這樣的大型發(fā)卡機(jī)構(gòu)確實(shí)在檢查[iCVV和CVV之間的不匹配]，并將撤回不匹配的交易。但一些小機(jī)構(gòu)的情況顯然不是這樣?！?/p>