セキュリティ研究者がVisaカードの非接触型決済に新しい認証の欠陥を報告
セキュリティはVisa支払いカードにあり、攻撃者はPINバイパスとして分類される新しい種類の攻撃を実行できます。これにより、支払い端末を操作して、認証されていないカードからのカード取引を受け入れることができます。
チューリッヒのスイス連邦工科大学(ETHチューリッヒ)の研究者チームは、攻撃者がPINバイパス攻撃を実行し、クレジットカード詐欺を行う可能性があるこのセキュリティの脆弱性を最初に検出しました。
通常、非接触型カードを使用して商品やサービスに支払うことができる金額には制限があります。そのような制限を超えると、カードの終了は、カード所有者からの確認を要求し、PINを入力します。しかし、アナリストが示したように、そのようなクレジットカードにアクセスする犯罪者は、その上限を超えると、この欠陥を悪用し、PINがなくても購入できます。
攻撃が行われるためには、詐欺師は支払いカードの詳細を必要とします。彼らはこれを盗むことによって、またはさまざまな手段を通じて取得することによって行うことができます。代替策は、人気のあるNFCスキミングオプションを使用して、近くのカードをスキャンし、その詳細をコピーすることです。
攻撃者がどのようにして攻撃を行うことができるかを示すために、研究者は、特に目的のために概念実証アプリケーションを作成しました。デバイスに配信される前にカードの応答を変更するように設計された決済端末の動作を変更するために使用されます。
攻撃が行われると、詐欺師は被害者のカードを使用して購入を完了し、Card Transaction Qualifiersと呼ばれる値を変更することでPINの制限を克服できます。彼らはリモートプロトコルを使用して接続を悪用し、決済端末がPINの検証に打ち勝ち、カード所有者のIDがすでに検証されていることを信頼します。
研究者らは、6つのEMV非接触プロトコルの1つでPINバイパス攻撃をテストしました。しかし、彼らはこれがディスカバリーとユニオンペイのプロトコルにも当てはまる可能性があると理論化しました。
研究者らはまた、Visaまたは古いMastercardによって実行されたオフラインの非接触型トランザクションに基づく別の脆弱性を発見しました。この攻撃では、詐欺師はトランザクション暗号と呼ばれるカードが作成したデータを変更してから、端末に送信します。この場合、データはカード発行会社、つまり銀行によって検証されるため、詐欺師は商品を手にした状態で長い間風にさらされています。