IT業界社群及資訊平台

【有險可守?】Visa 信用卡非接觸式支付漏洞 不知不覺碌爆卡

香港人而家已經習慣電子支付,尤其係疫情下大家為咗避免用實體貨幣購物,更加速咗呢種付費方式。就算用信用卡俾錢,都傾向非接觸式付款,呢種方法嘅好處係設有金額上限,用嚟買啲幾百蚊貨仔嘅嘢,完全唔需要簽名認證,非常方便。不過,一班瑞士學者就發現呢種方法存在漏洞,可以突破金額限制進行交易,對卡主毫無保障!

正常嘅非接觸式支付過程,係 POS 收費系統發出收費指示後,卡主人拍卡進行付費,如果金額超過上限,就有需要額外輸入密碼去確認,不過專家就喺交換訊息過程中做手腳,將毋須額外密碼驗證嘅訊息傳返俾 POS 系統,成功突破盲腸。不過,要達成呢種攻擊手段,專家話要預備四種材料,首先要有兩部 Android 手機,開發小組研製嘅應用程式同埋一張非接觸式 VISA 信用卡。兩部智能手機要分別安裝 Android 特製程式,令佢哋分別模擬 POS 收費系統及信用卡,而呢兩個特製應用程式係唔需要破解手機先至可以安裝,專家話佢哋已成功喺 Google Pixel 及華為手機上試驗過,同埋亦喺真實店鋪內成功通過測試添!

至於運作過程又係點呢?首先扮演 POS 系統嘅 Android 手機向真信用卡發出付款請求,然後將付費訊息經 Wi-Fi 傳送至扮演信用卡嘅 Android 手機上,經應用程式修改付費訊息,內附毋須使用密碼驗證資訊,之後再用呢部手機拍向真 POS 系統,咁就完成咗交易,係咪好簡單呢!專家話已經將呢個漏洞通知咗 VISA,不過對方暫時未有任何回應喎。

唔好以為淨係 VISA 卡先出事喎,專家指舊嘅 Master 信用卡就存在另一漏洞,當佢同 VISA 信用卡喺離線 POS 系統進行交易時,由於只有發卡行可以進行加密驗證,所以只要專家用類似手法欺騙 POS 系統接受呢筆離線交易,就可以光明正大拎住Shopping 戰利品行出鋪頭,當店鋪進行定期結算時,發卡行收到呢啲詐騙交易記錄,到時都唔可以怪間鋪頭啦!

資料來源:https://zd.net/3lzMtOB

唔想錯過熱門網絡保安消息,請即訂閱 wepro180 電子周報:https://bit.ly/2ZcCi9J