Samy Kamkar先前就曾写过好几款黑客工具,最近他造了一台相当牛掰的设备,该设备能够读取和预测信用卡卡号,绕过卡片中嵌入的芯片密码(chip & PIN)保护机制。该设备名为MagSpoof,它实际读取的是存储在信用卡/储蓄卡磁条中的信息。
有了这东西,黑客可以分析卡片的磁区域,并将信息储存到MagSpoof设备上。磁条区域是用于验证卡片交易的,所以卡片号码和其他细节信息实际上也是被编码到磁条中的。一旦你的卡片信息被存储到了MagSpoof上面,MagSpoof就能用你的卡片去买东西了。
使用磁条读取器就能从中获取数据,或者使用吸附到磁条磁区域的金属粉末。根据Kambar所说,只要将他的这台设备放到PoS机(基于磁条读取的)旁边,就能完成交易。这个过程还是有可能的,交易用的就是MagSpoof先前获取到的数据,它能够以更高的强度再现先前获取的磁信息,达成靠近就完成支付的目的,根本不需要刷先前那张卡。
Kamkar说,MagSpoof可以保存从多个磁条获取的数据,MagSpoof甚至还能禁用芯片密码保护机制。磁条中PIN请求是以1bit编码形式存在的,这个比特位就要求读卡设备给出PIN密码。Kamkar宣称,它搞定了这个比特位,使之失去Chip & PIN芯片密码支持。也就是说MagSpoof可以骗过读卡设备,告诉读卡设备,该卡片没有Chip & PIN芯片密码。
另外,由于更换卡片的某些固定规则,Kamkar还为MagSpoof添加了一项能够预测新卡号的功能,主要是基于先前那张卡片的到期时间。也就是说即便持卡人取消旧卡,换新卡,也能基于Kamkar的算法调整磁条数据,继续用MagSpoof来进行交易。
这台MagSpoof设备造价大概就10美元左右,已经用美国运通发行的卡试过。当前MagSpoof的开源代码已经在GitHub公布,不过Kamkar没有公布犯罪分子可将其用于非法目的关键部分。
视频来源:http://player.youku.com/player.php/sid/XMTM5NjAyMTk5Mg==/v.swf
下一篇:儿童智能手表其实并不安全