Các nhà nghiên cứu an ninh mạng đã tiết lộ một cuộc tấn công mới có thể cho phép bọn tội phạm lừa một thiết bị đầu cuối của điểm bán hàng để giao dịch với thẻ không tiếp xúc Mastercard của nạn nhân trong khi tin rằng đó là thẻ Visa.
Nghiên cứu được xuất bản bởi một nhóm học giả từ ETH Zurich, được xây dựng dựa trên một nghiên cứu chi tiết vào tháng 9 năm ngoái đã đi sâu vào một cuộc tấn công bỏ qua mã PIN, cho phép những kẻ xấu lợi dụng thẻ tín dụng hỗ trợ Visa EMV bị đánh cắp hoặc bị mất của nạn nhân để thực hiện các giao dịch mua giá trị cao mà không biết mã PIN của thẻ và thậm chí đánh lừa thiết bị đầu cuối chấp nhận các giao dịch thẻ ngoại tuyến không xác thực.
Các nhà nghiên cứu David Basin, Ralf Sasse và Jorge Toro cho biết: “Đây không chỉ là một sự trộn lẫn thương hiệu thẻ đơn thuần mà nó gây ra những hậu quả nghiêm trọng. “Ví dụ, bọn tội phạm có thể sử dụng nó kết hợp với cuộc tấn công trước đây vào Visa để vượt qua mã PIN của thẻ Mastercard. Các thẻ của thương hiệu này trước đây được cho là được bảo vệ bằng mã PIN.”
Sau tiết lộ có trách nhiệm, ETH Zurich các nhà nghiên cứu cho biết Mastercard đã triển khai các cơ chế phòng thủ ở cấp độ mạng để ngăn chặn các cuộc tấn công như vậy. Các phát hiện sẽ được trình bày tại Hội nghị chuyên đề về bảo mật USENIX lần thứ 30 vào tháng 8 vào cuối năm nay.
Một cuộc tấn công trộn lẫn nhãn hiệu thẻ
Cũng giống như cuộc tấn công trước đó liên quan đến thẻ Visa, nghiên cứu mới nhất cũng khai thác các lỗ hổng “nghiêm trọng” trong giao thức không tiếp xúc EMV được sử dụng rộng rãi, chỉ có điều lần này mục tiêu là thẻ Mastercard.
Ở cấp độ cao, điều này đạt được bằng cách sử dụng một ứng dụng Android thực hiện cuộc tấn công man-in-the-middle (MitM) trên đỉnh kiến trúc tấn công chuyển tiếp, do đó cho phép ứng dụng không chỉ khởi tạo thông báo giữa hai đầu – terminal và card. – mà còn để đánh chặn và thao túng giao tiếp NFC (hoặc Wi-Fi) để tạo ra sự không phù hợp một cách ác ý giữa nhãn hiệu thẻ và mạng thanh toán.
Nói cách khác, nếu thẻ được phát hành có thương hiệu Visa hoặc Mastercard, thì yêu cầu ủy quyền cần thiết để hỗ trợ các giao dịch EMV được chuyển đến mạng thanh toán tương ứng. Thiết bị đầu cuối thanh toán nhận dạng thương hiệu bằng cách sử dụng kết hợp số tài khoản chính (PAN, còn được gọi là số thẻ) và số nhận dạng ứng dụng (VIỆN TRỢ) xác định duy nhất loại thẻ (ví dụ: Mastercard Maestro hoặc Visa Electron), và sau đó sử dụng thẻ sau để kích hoạt một nhân cụ thể cho giao dịch.
Kernel EMV là một tập hợp các chức năng cung cấp tất cả dữ liệu và logic xử lý cần thiết được yêu cầu để thực hiện một giao dịch tiếp xúc hoặc không tiếp xúc EMV.
Cuộc tấn công, được gọi là “kết hợp thương hiệu thẻ, “lợi dụng thực tế là các AID này không được xác thực với thiết bị đầu cuối thanh toán, do đó có thể đánh lừa thiết bị đầu cuối để kích hoạt một nhân bị lỗi và bằng cách mở rộng, ngân hàng xử lý thanh toán thay mặt cho người bán, chấp nhận không tiếp xúc giao dịch với PAN và AID cho biết các nhãn hiệu thẻ khác nhau.
“Kẻ tấn công sau đó thực hiện đồng thời một giao dịch Visa với thiết bị đầu cuối và một giao dịch Mastercard với thẻ”, các nhà nghiên cứu chỉ ra.
Tuy nhiên, cuộc tấn công đòi hỏi nó phải đáp ứng một số điều kiện tiên quyết để có thể thành công. Đáng chú ý, bọn tội phạm phải có quyền truy cập vào thẻ của nạn nhân, bên cạnh đó có thể sửa đổi lệnh của thiết bị đầu cuối và phản ứng của thẻ trước khi chuyển chúng cho người nhận tương ứng. Những gì nó không yêu cầu là cần phải có đặc quyền root hoặc khai thác các lỗ hổng trong Android để sử dụng ứng dụng bằng chứng khái niệm (PoC).
Nhưng các nhà nghiên cứu lưu ý rằng thiếu sót thứ hai trong giao thức không tiếp xúc EMV có thể cho phép kẻ tấn công “xây dựng tất cả các phản hồi cần thiết được chỉ định bởi giao thức Visa từ những phản hồi thu được từ thẻ không phải Visa, bao gồm cả bằng chứng mật mã cần thiết để nhà phát hành thẻ cho phép giao dịch . “
Mastercard bổ sung các biện pháp đối phó
Sử dụng ứng dụng PoC Android, các nhà nghiên cứu ETH Zurich cho biết họ có thể bỏ qua xác minh mã PIN cho các giao dịch bằng thẻ tín dụng và thẻ ghi nợ Mastercard, bao gồm hai thẻ ghi nợ Maestro và hai thẻ tín dụng Mastercard, tất cả đều do các ngân hàng khác nhau phát hành với một trong các giao dịch vượt quá 400 đô la.
Để đáp lại các phát hiện, Mastercard đã bổ sung một số biện pháp đối phó, bao gồm việc yêu cầu các tổ chức tài chính đưa AID vào dữ liệu ủy quyền, cho phép các tổ chức phát hành thẻ kiểm tra AID so với PAN.
Ngoài ra, mạng thanh toán đã tiến hành kiểm tra các điểm dữ liệu khác có trong yêu cầu ủy quyền có thể được sử dụng để xác định một cuộc tấn công kiểu này, do đó từ chối giao dịch gian lận ngay từ đầu.
