基于Mastercard-Visa混合的银行卡品牌混淆攻击
发布网友
发布时间:2024-07-03 08:44
共1个回答
热心网友
时间:2024-07-12 08:32
在现代金融交易中,EMV( Europay, Mastercard, and Visa )技术广泛应用于银行卡支付,但其非接触式协议中的潜在漏洞可能引发严重的银行卡品牌混淆攻击。当发卡机构的在线授权过程中出现错误识别,攻击者便能利用这种混淆,欺骗终端将Visa卡误认为Mastercard,进而通过输入PIN来执行高额交易,这无疑对持卡人和金融机构构成了威胁。
Visa 和万事达卡等巨头推动了EMV标准的实施,终端会向发卡机构发送加密的授权请求,但验证过程中的一个小失误,如终端识别错误的卡品牌,就可能成为攻击者突破点。一项研究通过构建Android应用,成功演示了一种概念验证,即通过欺骗终端,使Mastercard卡在不输入PIN的情况下进行Visa交易,揭示了EMV协议在非接触式验证环节的不足。
威胁不仅限于直接的卡品牌混淆,如Visa的中继攻击和PIN绕过,还涉及NFC技术的远程操控,攻击者能扩大攻击范围,实施欺诈交易,尤其对小额交易构成风险。而万事达卡的协议设计中,某些关键数据对象如CTQ值0x0280的验证缺失,为攻击者提供了可乘之机。
EMV协议的复杂性体现在以下几个关键环节:</
应用选择:交易启动时,终端会选择支持的应用,如Mastercard或Visa。
离线数据认证:终端与卡之间的交互涉及加密数据,包括主账号、PKI数据和风险信息,以及密码验证。
签名认证:如使用不可预测的UN和SDAD进行认证,CDA包含交易数据,卡需在授权阶段提供。
ODA选择与验证:取决于卡支持的类型,如在线PIN、CVM验证,甚至纸质签名。
交易授权:通过计算应用密码(AC),涉及AC的生成、加密和验证过程,涉及终端、发行者和交易限制。
攻击者利用Visa协议的漏洞,如AID的不加密状态,以及Mastercard内核的相对安全措施,实施了一连串的攻击步骤,包括AID的替换、命令构造、PIN绕过以及数据对象的获取。一项具体实例是通过开发的Android应用,通过WiFi中继技术,成功绕过了四张不同卡的PIN验证,实现了在线授权。
值得注意的是,这种混淆攻击可能导致商家接受意外的卡品牌,从而可能涉及税务或费用问题,甚至欺诈报销。不同地区对银行卡品牌的使用限制也影响了攻击的可行性和复杂性。
对于支付终端和EMV标准,研究发现需要改进以识别和防止品牌混淆。比如,SIX等终端可能默认路由交易到Visa网络,而忽视了Mastercard。新的模型扩展了旧的规则,但暴露了AID和CVM验证的缺失,这是未来改进的重点。
尽管面临挑战,Visa和Mastercard已经提出修复措施来应对这些威胁。Visa通过终端设置TTQ的第1位和验证SDAD来防止PIN绕过,而Mastercard则强调了SDAD的生成和验证,以及AID的必要性。万事达卡的网络检查策略也有效抵御了这种混合攻击。
