传统的支付卡将持卡人的账户数据以纯文本形式编码在磁条上,磁条可以被盗取设备或偷偷安装在支付终端上的恶意软件读取和记录。然后,这些数据可以被编码到任何其他带有磁条的东西上,并用于进行敲诈性交易。
较新的基于芯片的卡采取了一种被称为EMV的技能,对存储在芯片中的账户数据进行加密。该技能导致每次芯片卡与芯片功能的支付终端交互时,都会产生一个独特的加密密钥--称为令牌或 \"大众cryptogram\"大众。
实际上,所有基于芯片的卡片仍旧有很多相同的数据,这些数据存储在卡片背面的磁条上编码的芯片中。这紧张是出于向后兼容性的考虑,由于许多商家--尤其是美国的商家--仍旧没有完备实现芯片卡读卡器。这种双重功能还许可持卡人在卡的芯片或商家的EMV终端因某种缘故原由发生故障时,可以刷磁条。
但EMV芯片与磁条上存储的持卡人数据有主要差异。个中之一是芯片中的一个被称为集成电路卡验证值或简称 \公众iCVV \"大众的组件--也被称为 \公众动态CVV\"大众。iCVV不同于存储在物理磁条上的卡验证值(CVV),它可以防止从芯片中复制磁条数据,并利用这些数据制造假造的磁条卡。iCVV和CVV值都与卡背面明显印制的三位数安全码无关,紧张用于电子商务交易或通过电话进行卡片验证。
EMV办法的魅力在于,纵然有盗刷者或恶意软件成功拦截到芯片卡浸泡时的交易信息,这些数据也只对这一次交易有效,该当不会让盗贼连续用它进行敲诈性支付。
然而,为了让EMV的安全保护方法发挥浸染,发卡金融机构支配的后端系统该当检讨当芯片卡浸入芯片读卡器时,只出示iCVV;反之,刷卡时只出示CVV。如果这些在某种程度上与某一交易类型不一致,金融机构就该当谢绝该交易。
问题是,并不是所有的金融机构都以这种办法精确地设置了他们的系统。不足为奇的是,盗贼多年来一贯知道这个弱点。2017年,Brian Krebs 曾写过一篇关于 \"大众闪烁器 \"大众日益盛行的文章,这是一种为拦截芯片卡交易数据而制作的高科技银行卡盗刷装置。
最近,Cyber R&D实验室的研究职员揭橥了一篇论文,详细先容了他们是如何测试欧洲和美国10家不同银行的11种芯片卡实现的,研究职员创造他们可以从个中的4种芯片卡中采集数据,并创建克隆的磁条卡,并成功地用于放置交易。
现在有强烈的迹象表明,Cyber R&D Labs详述的同样的方法正在被发卖终端(POS)恶意软件用于捕获EMV交易数据,然后可以转售并用于制造基于芯片卡的磁条副本。
本月早些时候,环球最大的支付卡网络Visa发布了一份安全警报,内容涉及最近发生的一起商户泄密事宜,已知的POS恶意软件系列显然被修正为针对EMV芯片的POS终端。
“安全接管技能的履行,如EMV®芯片,大大降落了威胁行为者对于出账户数据的可用性,由于可用数据仅包括个人账户号码(PAN),集成电路卡验证值(iCVV)和到期日期,”Visa写道。“因此,只要iCVV得到精确的验证,假冒敲诈的风险是最小的。此外,许多商户所在地采取了点对点加密(P2PE),对PAN数据进行加密,进一步降落了以EMV芯片处理的支付账户的风险。”
Visa没有列出受影响商户的名字,但美国东北部的连锁超市Key Food Stores Co-Operative Inc.彷佛也发生了类似的事情。Key Food最初在2020年3月表露了一起银行卡数据透露事宜,但两周前更新了咨询,澄清EMV交易数据也被截获。
“涉及的商店地点的POS设备是启用EMV的,”Key Food阐明说。“对付这些地点的EMV交易,我们相信只有卡号和到期日会被恶意软件创造(但不会创造持卡人姓名或内部验证码)。”
虽然Key Food的声明在技能上可能是准确的,但它粉饰了一个现实,即在发卡银行没有精确履行EMV的情形下,被盗取的EMV数据仍旧可以被敲诈者用来创建磁条版的EMV卡呈现在被入侵的商店收银机上。
此前敲诈情报公司Gemini Advisory发布了一篇博客文章,供应了更多关于最近的商户入侵事宜的信息--包括Key Food,在这些事宜中,EMV交易数据被盗取,并终极在迎合盗卡者的地下商店出售。
“这次数据透露事宜中被盗的支付卡在暗网中供应发卖,”Gemini阐明说。“在创造这个漏洞后不久,几家金融机构证明,这次漏洞中被透露的卡都是按EMV处理的,并没有依赖磁条作为备用。”
Gemini表示,它已经核实最近的另一起数据透露事宜--在佐治亚州的一家酒类商店--也导致了被透露的EMV交易数据涌如今出售被盗卡数据的暗网商店中。正如Gemini和Visa所指出的那样,在这两种情形下,银行适当的iCVV验证该当会使这些被截获的EMV数据对骗子毫无用途。
Gemini认定,由于受影响的商店数量浩瀚,参与这些数据透露事宜的盗贼利用物理安装的EMV卡闪光灯拦截EMV数据的可能性极小。
“鉴于这种策略极其不切实际,他们很可能利用不同的技能远程入侵POS系统,以网络足够的EMV数据来进行EMV旁路克隆,”该公司写道。
Gemini的研发总监Stas Alforov表示,没有进行这些检讨的金融机构有可能失落去把稳到这些卡被用于敲诈的能力。这是由于许多发行了芯片卡的银行可能会认为,只要这些卡用于芯片交易,就险些不存在这些卡被克隆并在地下出售的风险。因此,当这些机构在敲诈交易中探求模式,以确定哪些商户可能会被POS恶意软件入侵时,他们可能会完备不考虑任何基于芯片的支付,而只关注那些客户刷过卡的商户。
“卡网络正在捉住现在有更多基于EMV的数据透露事宜发生这一事实,”Alforov说。“像大通或美国银行这样的大型发卡机构确实在检讨[iCVV和CVV之间的不匹配],并将撤回不匹配的交易。但一些小机构的情形显然不是这样。”
