EMV技術(shù)加密存儲在芯片中的賬戶數(shù)據(jù)

時間：2020-08-20 16:29:19

關(guān)鍵字：信用卡 emv芯片支付賬戶

手機看文章

掃描二維碼
隨時隨地手機看文章

[導讀]維護信用卡和借記卡的安全是保護所有用戶財產(chǎn)的根本。以芯片為基礎(chǔ)的信用卡和借記卡的設(shè)計，是為了讓盜刷設(shè)備或惡意軟件無法在你通過蘸取芯片而非刷卡條付款時克隆你的卡。利用某些金融機構(gòu)實施該技術(shù)的弱點，繞過關(guān)鍵的芯片卡安全功能，有效地制造可用的偽卡。

維護信用卡和借記卡的安全是保護所有用戶財產(chǎn)的根本。以芯片為基礎(chǔ)的信用卡和借記卡的設(shè)計，是為了讓盜刷設(shè)備或惡意軟件無法在你通過蘸取芯片而非刷卡條付款時克隆你的卡。利用某些金融機構(gòu)實施該技術(shù)的弱點，繞過關(guān)鍵的芯片卡安全功能，有效地制造可用的偽卡。

傳統(tǒng)的支付卡將持卡人的賬戶數(shù)據(jù)以純文本形式編碼在磁條上，磁條可以被竊取設(shè)備或偷偷安裝在支付終端上的惡意軟件讀取和記錄。然后，這些數(shù)據(jù)可以被編碼到任何其他帶有磁條的東西上，并用于進行欺詐性交易。

較新的基于芯片的卡采用了一種被稱為EMV的技術(shù)，對存儲在芯片中的賬戶數(shù)據(jù)進行加密。該技術(shù)導致每次芯片卡與芯片功能的支付終端交互時，都會產(chǎn)生一個獨特的加密密鑰--稱為令牌或 “cryptogram”。

實際上，所有基于芯片的卡片仍然有很多相同的數(shù)據(jù)，這些數(shù)據(jù)存儲在卡片背面的磁條上編碼的芯片中。這主要是出于向后兼容性的考慮，因為許多商家--尤其是美國的商家--仍然沒有完全實現(xiàn)芯片卡讀卡器。這種雙重功能還允許持卡人在卡的芯片或商家的EMV終端因某種原因發(fā)生故障時，可以刷磁條。

但EMV芯片與磁條上存儲的持卡人數(shù)據(jù)有重要區(qū)別。其中之一是芯片中的一個被稱為集成電路卡驗證值或簡稱 “iCVV ”的組件--也被稱為 “動態(tài)CVV”。iCVV不同于存儲在物理磁條上的卡驗證值(CVV)，它可以防止從芯片中復(fù)制磁條數(shù)據(jù)，并利用這些數(shù)據(jù)制造偽造的磁條卡。iCVV和CVV值都與卡背面明顯印制的三位數(shù)安全碼無關(guān)，主要用于電子商務(wù)交易或通過電話進行卡片驗證。

EMV方式的魅力在于，即使有盜刷者或惡意軟件成功攔截到芯片卡浸泡時的交易信息，這些數(shù)據(jù)也只對這一次交易有效，應(yīng)該不會讓盜賊繼續(xù)用它進行欺詐性支付。

然而，為了讓EMV的安全保護措施發(fā)揮作用，發(fā)卡金融機構(gòu)部署的后端系統(tǒng)應(yīng)該檢查當芯片卡浸入芯片讀卡器時，只出示iCVV;反之，刷卡時只出示CVV。如果這些在某種程度上與某一交易類型不一致，金融機構(gòu)就應(yīng)該拒絕該交易。

問題是，并不是所有的金融機構(gòu)都以這種方式正確地設(shè)置了他們的系統(tǒng)。不足為奇的是，盜賊多年來一直知道這個弱點。2017年，Brian Krebs 曾寫過一篇關(guān)于 “閃爍器 ”日益盛行的文章，這是一種為攔截芯片卡交易數(shù)據(jù)而制作的高科技銀行卡盜刷裝置。

最近，Cyber R&D實驗室的研究人員發(fā)表了一篇論文，詳細介紹了他們是如何測試歐洲和美國10家不同銀行的11種芯片卡實現(xiàn)的，研究人員發(fā)現(xiàn)他們可以從其中的4種芯片卡中采集數(shù)據(jù)，并創(chuàng)建克隆的磁條卡，并成功地用于放置交易。

現(xiàn)在有強烈的跡象表明，Cyber R&D Labs詳述的同樣的方法正在被銷售終端(POS)惡意軟件用于捕獲EMV交易數(shù)據(jù)，然后可以轉(zhuǎn)售并用于制造基于芯片卡的磁條副本。

本月早些時候，全球最大的支付卡網(wǎng)絡(luò)Visa發(fā)布了一份安全警報，內(nèi)容涉及最近發(fā)生的一起商戶泄密事件，已知的POS惡意軟件系列顯然被修改為針對EMV芯片的POS終端。

“安全接受技術(shù)的實施，如EMV?芯片，大大降低了威脅行為者對支付賬戶數(shù)據(jù)的可用性，因為可用數(shù)據(jù)僅包括個人賬戶號碼(PAN)，集成電路卡驗證值(iCVV)和到期日期，”Visa寫道?！耙虼耍灰猧CVV得到正確的驗證，假冒欺詐的風險是最小的。此外，許多商戶所在地采用了點對點加密(P2PE)，對PAN數(shù)據(jù)進行加密，進一步降低了以EMV芯片處理的支付賬戶的風險?！?

Visa沒有列出受影響商戶的名字，但美國東北部的連鎖超市Key Food Stores Co-Operative Inc.似乎也發(fā)生了類似的事情。Key Food最初在2020年3月披露了一起銀行卡數(shù)據(jù)泄露事件，但兩周前更新了咨詢，澄清EMV交易數(shù)據(jù)也被截獲。

“涉及的商店地點的POS設(shè)備是啟用EMV的，”Key Food解釋說?！皩τ谶@些地點的EMV交易，我們相信只有卡號和到期日會被惡意軟件發(fā)現(xiàn)(但不會發(fā)現(xiàn)持卡人姓名或內(nèi)部驗證碼)?！?

雖然KeyFood的聲明在技術(shù)上可能是準確的，但它掩蓋了一個現(xiàn)實，即在發(fā)卡銀行沒有正確實施EMV的情況下，被竊取的EMV數(shù)據(jù)仍然可以被欺詐者用來創(chuàng)建磁條版的EMV卡呈現(xiàn)在被入侵的商店收銀機上。

此前欺詐情報公司Gemini Advisory發(fā)布了一篇博客文章，提供了更多關(guān)于最近的商戶入侵事件的信息--包括Key Food，在這些事件中，EMV交易數(shù)據(jù)被竊取，并最終在迎合盜卡者的地下商店出售。

“這次數(shù)據(jù)泄露事件中被盜的支付卡在暗網(wǎng)中提供銷售，”Gemini解釋說?！霸诎l(fā)現(xiàn)這個漏洞后不久，幾家金融機構(gòu)證實，這次漏洞中被泄露的卡都是按EMV處理的，并沒有依靠磁條作為備用?！?

Gemini表示，它已經(jīng)核實最近的另一起數(shù)據(jù)泄露事件--在佐治亞州的一家酒類商店--也導致了被泄露的EMV交易數(shù)據(jù)出現(xiàn)在出售被盜卡數(shù)據(jù)的暗網(wǎng)商店中。正如Gemini和Visa所指出的那樣，在這兩種情況下，銀行適當?shù)膇CVV驗證應(yīng)該會使這些被截獲的EMV數(shù)據(jù)對騙子毫無用處。

Gemini認定，由于受影響的商店數(shù)量眾多，參與這些數(shù)據(jù)泄露事件的盜賊使用物理安裝的EMV卡閃光燈攔截EMV數(shù)據(jù)的可能性極小。

“鑒于這種策略極其不切實際，他們很可能使用不同的技術(shù)遠程入侵POS系統(tǒng)，以收集足夠的EMV數(shù)據(jù)來進行EMV旁路克隆，”該公司寫道。

Gemini的研發(fā)總監(jiān)Stas Alforov表示，沒有進行這些檢查的金融機構(gòu)有可能失去注意到這些卡被用于欺詐的能力。這是因為許多發(fā)行了芯片卡的銀行可能會認為，只要這些卡用于芯片交易，就幾乎不存在這些卡被克隆并在地下出售的風險。

因此，當這些機構(gòu)在欺詐交易中尋找模式，以確定哪些商戶可能會被POS惡意軟件入侵時，他們可能會完全不考慮任何基于芯片的支付，而只關(guān)注那些客戶刷過卡的商戶。