Positive Technologies的研究人员Leigh-Anne Galloway和Tim Yunusov发现了允许攻击者绕过Visa非接触式卡支付限制的缺陷。
已经对五家主要的英国银行进行了测试,成功绕过所有经过测试的Visa卡的非接触式验证限制(支付30英镑的限制),与卡终端无关。
研究人员还发现,英国以外的卡和终端可以进行这种攻击。这些调查结果非常重要,因为非接触式支付验证限制用于防范近年来不断增加的欺诈性损失。
该攻击通过操纵在非接触式支付期间在卡和终端之间交换的两个数据字段来工作。主要在英国,如果付款需要额外的持卡人验证(英国支付超过30英镑所需),卡将回答“我不能这样做”,这可以防止超过此限额付款。
其次,终端使用国家特定设置,其要求卡或移动钱包提供对持卡人的额外验证,例如通过在电话上输入卡PIN或指纹认证。
可以使用拦截卡和支付终端之间通信的设备绕过这两种检查。
该设备充当代理,并且已知用于中间人(MITM)攻击。首先,设备告诉卡,即使金额超过30英镑,也不需要验证。然后,设备告诉终端已经通过其他方式进行了验证。
这种攻击是可能的,因为Visa不要求发卡机构和收单机构在没有提供最低限度验证的情况下进行阻止付款的检查。
攻击也可以使用GPay等移动钱包进行,其中Visa卡已添加到钱包中。在这里,甚至可以在不解锁手机的情况下欺诈性地充值至30英镑。
据英国金融协会称,非接触式卡和设备的欺诈行为从2016年的670万英镑增加到2017年的1400万英镑.2018年上半年,非接触式欺诈损失了840万英镑。
该发现强调了开证行提供额外担保的重要性,开证行不应依赖Visa来提供安全的付款协议。相反,发行人应该有自己的措施来检测和阻止这种攻击媒介和其他支付攻击。
“支付行业认为非接触式支付受到他们保障措施的保护,但事实是非接触式欺诈正在增加,”Positive Technologies银行业务安全负责人Tim Yunusov表示。
“虽然这是一种相对较新的欺诈行为,可能不是银行目前的首要任务,如果可以轻易绕过非接触式验证限制,这意味着我们可以看到银行及其客户遭受更多破坏性损失。”
研究人员建议,非接触式卡用户需要保持警惕,监控他们的银行账户报表以尽早发现欺诈行为,如果可以与他们的银行一起实施其他安全措施,如支付验证限制和短信通知。
“这取决于客户和银行保护自己,”Positive Technologies网络安全恢复主管Leigh-Anne Galloway说。
“虽然一些终端有随机检查,但这些必须由商家编程,因此完全由他们自行决定。正因为如此,我们可以预期看到非接触式欺诈继续上升。
“发行人需要更好地执行他们自己的非接触式规则并提高行业标准。犯罪分子总是倾向于以更方便的方式快速获取资金,所以我们需要尽可能地增加非接触式破解难度。“