芯片银行卡的设计使您在使用芯片卡而不是磁条付款时,没有必要使用窃贼或恶意软件来克隆它们。但是,最近对美国商店的几次攻击表明,窃贼正在利用某些金融机构实施该技术的弱点。这样一来,他们就可以绕过芯片卡,甚至可以制造出可用的假冒产品。
传统上,塑料卡在磁条上以纯文本形式编码所有者的帐户数据。隐藏在支付终端中的撇油器或恶意软件可以从中读取数据并将其记录下来。然后可以将该数据编码到任何其他磁条卡上,并用于欺诈性金融交易。
越来越多的现代卡使用EMV技术(Europay + MasterCard + Visa)对存储在芯片上的帐户数据进行加密。由于这项技术,每次卡与支持芯片的终端进行交互时,都会生成一次唯一的密钥,该密钥称为令牌或密码。
几乎所有芯片卡都存储在卡磁条上编码的相同数据。这是为了向后兼容,因为许多美国供应商尚未切换到支持芯片的终端。如果卡的芯片或商户的终端无法正常工作,此双重功能还允许持卡人使用磁条。
但是,存储在EMV芯片上的数据与磁条上的数据之间存在一些差异。其中之一是称为集成电路卡验证码(iCVV)的芯片组件,有时也称为“动态CVV”。
iCVV与存储在磁带上的CVV卡确认代码不同,它可以防止从芯片复制数据并使用它创建伪造的磁条卡。 iCVV和CVV都与印在卡背面的三位数数字代码无关,该数字通常用于在线商店付款或通过电话确认卡。
EMV方法的优点在于,即使撇渣器或病毒拦截了有关卡交易的信息,该数据也仅对该交易有效,并且将来不应再让小偷进行欺诈性付款。
但是,要使整个安全系统正常工作,发行卡的金融组织部署的后端系统必须验证将卡插入终端时,仅与数据一起发出iCVV,反之亦然,即使用磁条支付时,仅CVV。如果此信息与所选的交易类型不匹配,则金融机构必须拒绝该交易。
问题在于并非所有组织都正确配置了他们的系统。盗贼已经知道这些弱点很多年了也就不足为奇了。在2017年,我写了有关“微光”的使用百分比的增加的信息,“微光”是拦截使用芯片进行的交易中的数据的高科技数据收集器。
在加拿大的ATM机上发现了微光
最近,来自网络研发实验室的研究人员发表了一项研究结果,他们在欧洲和美国10个不同银行的卡上测试了11种芯片实现类型。他们发现他们可以从其中的四个中获取数据,然后创建克隆的磁条卡并将其成功用于支付。
完全有理由相信Cyber R&D Labs详细描述的方法正在商店终端中安装的恶意程序使用。程序拦截来自EMV的交易数据,然后可以将其转售并用于复制芯片卡,但使用磁条。
2020年7月,全球最大的支付网络Visa发出警告有关最近被入侵的卖方的终端的安全威胁。在他们的终端中,该恶意软件已被修补以与芯片卡一起使用。
Visa写道:“诸如EMV芯片之类的安全支付技术的实施已大大降低了第三方帐户支付数据的优势,因为该数据仅包含个人PAN帐号,iCVV卡验证码和数据有效期。”因此,通过正确的iCVV确认,假冒的风险很小。另外,许多商人使用了P2PE加密的终端来加密PAN,从而进一步降低了付款的风险。”
没有提到卖方的名字,但是在美国东北部的一家连锁超市Key Food Stores Co-Operative Inc.似乎发生了类似的事情。 Key Food最初于2020年3月披露了该卡被盗的详细信息,但于2020年7月更新了该声明,以澄清EMV交易数据也已被拦截。
“食品商店的终端均支持EMV,” Key Food解释道。 “我们认为,在这些时候的交易中,恶意软件只能截获卡号和有效期(而不是所有者的姓名,而不是内部确认码)。”
尽管Key Food的说法在技术上是正确的,但它却使事实更加真实-被盗的EMV数据仍可用于创建磁条卡的变体,然后可在收银机中使用该磁条卡,当发卡银行不出售时,收银机中会安装带有恶意软件的终端。 EMV保护正确。
7月,反欺诈公司Gemini Advisory发布了一篇博客文章,详细介绍了最近在商家(包括Key Food)遭到的黑客入侵,这些黑客窃取了EMV交易数据,然后以非法方式出售梳妆店。
“在此事件中被盗的付款卡是在暗网上出售的,” Gemini解释说。 “事件被发现后不久,几家金融机构确认所有参与的卡都是通过EMV处理的,而没有依靠磁条作为后备方法。”
双子座说,它已经证实,佐治亚州一家酒类商店的另一起安全事件也破坏了EMV交易数据,导致其后来出现在销售被盗卡的黑暗网站上。正如Gemini和Visa所指出的那样,在两种情况下,银行对iCVV数据的正确确认都应该使数据对欺诈者无用。
双子座确定受影响的商店数量之多表明,盗贼极不可能使用手动安装的EMV闪光器来拦截EMV数据。
该公司写道:“鉴于该策略的不切实际,我们可以得出结论,他们使用了另一种技术来闯入支付终端并收集足够的EMV数据来执行EMV旁路克隆。”
双子座的研发主管Stas Alferov说,不进行此类检查的金融机构将失去追踪此类卡滥用情况的能力。
事实上,许多发行了芯片卡的银行都相信,只要将它们用于使用芯片的交易,实际上就没有在地下市场克隆和出售它们的风险。因此,当这些组织在欺诈性交易中寻找模式以确定哪些供应商的设备已受到恶意软件的破坏时,它们可能会完全忽略基于芯片的支付,而只关注那些客户在刷卡时刷卡的结帐柜台。
“卡网络开始意识到现在有更多的EMV交易被黑,” Alferov说。“大通银行或美国银行等大型发卡机构已经在检查iCVV和CVV的不一致之处,并拒绝可疑交易。但是,较小的组织显然没有。”
无论好坏,我们都不知道哪个金融机构错误地实施了EMV标准。因此,您应始终仔细监控自己的卡支出,并立即报告任何未经授权的交易。如果您的银行允许您接收有关交易的短信,这将帮助您几乎实时地跟踪此类活动。