想象一下,你丢失了信用卡,并从银行申请了一张新的信用卡。但是,如果在你收到这张新卡之前,一些网络罪犯就已经在使用你的新信用卡,此时你作何感想?是的,这完全是可以实现的,至少使用这个仅仅10美元的设备MagSpoof就能够做到。
信用卡号码预测和窃取利器MagSpoof
硬件黑客Samy Kamkar已经搭建了一个成本10美元的设备,它可以预测并存储成百上千个美国运通信用卡号码,并允许任何人使用它进行无线支付交易,即使是在非无线终端上。
这个设备名为MagSpoof,根据一个注销的信用卡的号码以及请求办理新卡的时间,它能够猜测下一个信用卡号码和新的过期日期。这个过程不需要三位或四位的数CVV号码,CVV号码通常印制在信用卡的背面。
这个小工具将是信用卡诈骗犯的梦想利器,利用该工具他们能从偷来的信用卡盗取现金,即使这些信用卡已经被它真正的主人注销掉。
MagSpoof是什么?
MagSpoof是一种设备,针对美国运通信用卡,它具有以下功能:
1、通过无线方式欺骗任何磁条或信用卡,即使是标准的磁卡或信用卡读卡器;
2、禁用芯片和PIN(EMV)保护;
3、切换不同的信用卡;
4、准确地预测信用卡号码和有效期。
MagSpoof是如何工作的?
MagSpoof的无线功能是通过发射一种强大的“电磁场”来实现的,这种电磁场能够模拟一种传统的磁条卡,让其看起来好像是通过物理接触方式被刷的。Kamkar在它的博客中说道:
“令人难以置信的是,磁条读卡器不需要任何形式的无线接收器、RFID或NFC,因为MagSpoof是以无线方式工作的,即使是标准的条码读卡器。你可以将它放到任何传统的POS系统上,那么它将会认为正在刷一张卡。”
在丢失一张美国运通信用卡后,Kamkar注意到更换的新卡的号码似乎与之前的三张美国运通信用卡有一定的关系。Kamkar记录了所有的号码,并制定了一个全局模式(global pattern),这种模式使他能够准确地预测20张美国运通卡和更换卡的号码,这些号码都是他们朋友提供来供他研究的。
视频演示
可以观看下面的视频来了解整个攻击过程。
Kamkar还提供了必要的代码,可以从Github上下载,按照这里的指令来构建自己的MagSpoof设备,但是这份代码有所改变,因为Kamkar删除了禁用EMV的功能代码,并且还未公布美国运通卡号预测算法。想要深入探索MagSpoof,那么请阅读Kamkar发布的博客全文。
美国运通已收到该问题的报告,并声称公司正在修复该漏洞。