两名研究人员在2016美国黒帽大会上(Black Hat USA 2016 )推出了一种新的信用卡中间人攻击,能够在POS或ATM上拦截信用卡信息甚至PIN(个人信息认证密码)和CVV码(后三码)。
这两名来自NCR公司的研究人员(Nir Valtman和Patrick Watson)现场展示了他们的研究成果,让一台ATM机15分钟内吐出了50000美金。
他们曾告诫生产EMV卡芯片的厂商必须给添加额外的保护层防止芯片密码像之前的磁条卡一样容易被克隆。但是没有产商理会他们的建议。
攻击同时建立在硬件和软件之上
在两名研究员的演示中需要用到一个叫Shimmer的工具,是在ATM上完成中间人攻击的硬件担当。犯罪者在ATM机的读卡器上安装这块名为Shimmer的小玩意,当“受害者”把信用卡插进ATM机,ATM机读卡的同时,Shimmer会将截获的数据实时传输给犯罪者,获取的信息包括卡号,持卡人姓名,芯片密码和PIN。随后犯罪者就能用智能手机下载偷到的数据,伪造一个受害者的信用卡,就能到ATM上去取钱了。
据Tod Beardsley(Rapid7的安全研究经理)向BBC电视透露:
Shimmer是一种扫描EMV卡(Europay、MasterCard和Visa)的设备,能够轻易地从取款器外部安装,不需要拆开ATM机。
研究人员介绍说:
由于Shimmer位置隐蔽,很有可能在被害者合法交易的过程中再次截获到用户的PIN甚至是CVV(信用卡的安全码)
不幸中的万幸,EMV卡所启用的交易数据是动态的,这意味着犯罪者必须在一段很短的时间内完成取款(例如一分钟)。
希望厂商这次能够重视EMV的芯片问题。
