Ngay cả khi Visa đã đưa ra cảnh báo về một trình duyệt web JavaScript mới được gọi là Baka, các nhà nghiên cứu an ninh mạng đã phát hiện ra một lỗ hổng mới trong thẻ hỗ trợ EMV của công ty cho phép tội phạm mạng lấy tiền và lừa đảo chủ thẻ cũng như các thương gia bất hợp pháp.
Các nghiên cứu, được xuất bản bởi một nhóm học giả từ ETH Zurich, là một Tấn công bỏ qua mã PIN điều đó cho phép kẻ thù lợi dụng thẻ tín dụng bị đánh cắp hoặc bị mất của nạn nhân để thực hiện các giao dịch mua giá trị cao mà không biết mã PIN của thẻ và thậm chí lừa điểm bán hàng (PoS) chấp nhận giao dịch thẻ ngoại tuyến không xác thực.
Tất cả các thẻ không tiếp xúc hiện đại sử dụng giao thức Visa, bao gồm thẻ Visa Credit, Visa Debit, Visa Electron và V Pay, đều bị ảnh hưởng bởi lỗi bảo mật, nhưng các nhà nghiên cứu cho rằng nó có thể áp dụng cho các giao thức EMV do Discover và UnionPay triển khai như tốt. Tuy nhiên, lỗ hổng này không ảnh hưởng đến Mastercard, American Express và JCB.
Các phát hiện sẽ được trình bày tại Hội nghị chuyên đề IEEE lần thứ 42 trên An ninh và sự riêng tư sẽ được tổ chức tại San Francisco vào tháng 5 tới.
Sửa đổi tiêu chuẩn giao dịch thẻ thông qua tấn công MitM
EMV (viết tắt của Europay, Mastercard và Visa), tiêu chuẩn giao thức quốc tế được sử dụng rộng rãi để thanh toán bằng thẻ thông minh, yêu cầu số tiền lớn hơn chỉ có thể được ghi nợ từ thẻ tín dụng bằng mã PIN.
Nhưng thiết lập do các nhà nghiên cứu ETH nghĩ ra đã khai thác một lỗ hổng nghiêm trọng trong giao thức để thực hiện một cuộc tấn công man-in-the-middle (MitM) thông qua một ứng dụng Android “hướng dẫn thiết bị đầu cuối rằng không cần xác minh mã PIN vì quá trình xác minh chủ thẻ đã được thực hiện trên thiết bị của người tiêu dùng. “
Vấn đề bắt nguồn từ thực tế là phương pháp xác minh Chủ thẻ (CVM), được sử dụng để xác minh xem một cá nhân đang thực hiện giao dịch bằng thẻ tín dụng hoặc thẻ ghi nợ có phải là chủ thẻ hợp pháp hay không, không được bảo vệ bằng mật mã khỏi sửa đổi.
Do đó, Bộ định mức giao dịch thẻ (CTQ) được sử dụng để xác định kiểm tra CVM, nếu có, được yêu cầu cho giao dịch có thể được sửa đổi để thông báo cho thiết bị đầu cuối PoS ghi đè xác minh mã PIN và xác minh được thực hiện bằng thiết bị của chủ thẻ chẳng hạn như đồng hồ thông minh hoặc điện thoại thông minh (được gọi là Phương pháp xác minh chủ thẻ thiết bị tiêu dùng hoặc CDCVM).
Khai thác các giao dịch ngoại tuyến mà không bị tính phí
Hơn nữa, các nhà nghiên cứu đã phát hiện ra lỗ hổng thứ hai, liên quan đến các giao dịch ngoại tuyến không tiếp xúc được thực hiện bởi thẻ Visa hoặc thẻ Mastercard cũ, cho phép kẻ tấn công thay đổi một phần dữ liệu cụ thể được gọi là “Application Cryptogram” (AC) trước khi nó được chuyển đến thiết bị đầu cuối.
Thẻ ngoại tuyến thường được sử dụng để thanh toán trực tiếp cho hàng hóa và dịch vụ từ tài khoản ngân hàng của chủ thẻ mà không yêu cầu số PIN. Nhưng vì các giao dịch này không được kết nối với hệ thống trực tuyến, nên có sự chậm trễ từ 24 đến 72 giờ trước khi ngân hàng xác nhận tính hợp pháp của giao dịch bằng cách sử dụng mật mã và số tiền mua hàng được ghi nợ từ tài khoản.
Tội phạm có thể tận dụng cơ chế xử lý chậm trễ này để sử dụng thẻ của họ để hoàn thành một giao dịch ngoại tuyến và có giá trị thấp mà không bị tính phí, ngoài việc thực hiện giao dịch mua vào thời điểm ngân hàng phát hành từ chối giao dịch do sai mật mã.
Các nhà nghiên cứu cho biết: “Điều này tạo thành một cuộc tấn công ‘bữa trưa miễn phí’ trong đó tội phạm có thể mua hàng hóa hoặc dịch vụ có giá trị thấp mà không thực sự bị tính phí”, các nhà nghiên cứu cho biết thêm. hình mẫu cho tội phạm. “
Giảm thiểu việc bỏ qua mã PIN và các cuộc tấn công ngoại tuyến
Ngoài việc thông báo cho Visa về các sai sót, các nhà nghiên cứu cũng đã đề xuất ba bản sửa lỗi phần mềm cho giao thức để ngăn chặn việc bỏ qua mã PIN và các cuộc tấn công ngoại tuyến, bao gồm sử dụng Xác thực dữ liệu động (DDA) để bảo mật các giao dịch trực tuyến có giá trị cao và yêu cầu sử dụng mật mã trực tuyến trong tất cả các thiết bị đầu cuối PoS, điều này khiến các giao dịch ngoại tuyến được xử lý trực tuyến.
“Cuộc tấn công của chúng tôi[ed] rằng mã PIN vô dụng đối với các giao dịch không tiếp xúc với Visa [and] Các nhà nghiên cứu kết luận đã tiết lộ những khác biệt đáng ngạc nhiên giữa tính bảo mật của các giao thức thanh toán không tiếp xúc của Mastercard và Visa, cho thấy rằng Mastercard an toàn hơn Visa.
