知名安全網站 KrebsOnSecurity近日發文稱，以芯片為基礎的信用卡和借記卡的設計，是為了讓盜刷設備或惡意軟件無法在你通過蘸取芯片而非刷卡條付款時克隆你的卡。但最近一系列針對美國商戶的惡意軟件攻擊表明，盜賊正在利用某些金融機構實施該技術的弱點，繞過關鍵的芯片卡安全功能，有效地制造可用的偽卡。

傳統的支付卡將持卡人的賬戶數據以純文本形式編碼在磁條上，磁條可以被竊取設備或偷偷安裝在支付終端上的惡意軟件讀取和記錄。然后，這些數據可以被編碼到任何其他帶有磁條的東西上，并用于進行欺詐性交易。

較新的基于芯片的卡采用了一種被稱為EMV的技術，對存儲在芯片中的賬戶數據進行加密。該技術導致每次芯片卡與芯片功能的支付終端交互時，都會產生一個獨特的加密密鑰--稱為令牌或 “cryptogram”。

實際上，所有基于芯片的卡片仍然有很多相同的數據，這些數據存儲在卡片背面的磁條上編碼的芯片中。這主要是出于向后兼容性的考慮，因為許多商家--尤其是美國的商家--仍然沒有完全實現芯片卡讀卡器。這種雙重功能還允許持卡人在卡的芯片或商家的EMV終端因某種原因發生故障時，可以刷磁條。

但EMV芯片與磁條上存儲的持卡人數據有重要區別。其中之一是芯片中的一個被稱為集成電路卡驗證值或簡稱 “iCVV ”的組件--也被稱為 “動態CVV”。iCVV不同于存儲在物理磁條上的卡驗證值（CVV），它可以防止從芯片中復制磁條數據，并利用這些數據制造偽造的磁條卡。iCVV和CVV值都與卡背面明顯印制的三位數安全碼無關，主要用于電子商務交易或通過電話進行卡片驗證。

EMV方式的魅力在于，即使有盜刷者或惡意軟件成功攔截到芯片卡浸泡時的交易信息，這些數據也只對這一次交易有效，應該不會讓盜賊繼續用它進行欺詐性支付。

然而，為了讓EMV的安全保護措施發揮作用，發卡金融機構部署的后端系統應該檢查當芯片卡浸入芯片讀卡器時，只出示iCVV；反之，刷卡時只出示CVV。如果這些在某種程度上與某一交易類型不一致，金融機構就應該拒絕該交易。

問題是，并不是所有的金融機構都以這種方式正確地設置了他們的系統。不足為奇的是，盜賊多年來一直知道這個弱點。2017年，Brian Krebs 曾寫過一篇關于 “閃爍器 ”日益盛行的文章，這是一種為攔截芯片卡交易數據而制作的高科技銀行卡盜刷裝置。

最近，Cyber R&D實驗室的研究人員發表了一篇論文，詳細介紹了他們是如何測試歐洲和美國10家不同銀行的11種芯片卡實現的，研究人員發現他們可以從其中的4種芯片卡中采集數據，并創建克隆的磁條卡，并成功地用于放置交易。

現在有強烈的跡象表明，Cyber R&D Labs詳述的同樣的方法正在被銷售終端（POS）惡意軟件用于捕獲EMV交易數據，然后可以轉售并用于制造基于芯片卡的磁條副本。

本月早些時候，全球最大的支付卡網絡Visa發布了一份安全警報，內容涉及最近發生的一起商戶泄密事件，已知的POS惡意軟件系列顯然被修改為針對EMV芯片的POS終端。

“安全接受技術的實施，如EMV？芯片，大大降低了威脅行為者對支付賬戶數據的可用性，因為可用數據僅包括個人賬戶號碼（PAN），集成電路卡驗證值（iCVV）和到期日期，”Visa寫道。“因此，只要iCVV得到正確的驗證，假冒欺詐的風險是最小的。此外，許多商戶所在地采用了點對點加密（P2PE），對PAN數據進行加密，進一步降低了以EMV芯片處理的支付賬戶的風險。”

Visa沒有列出受影響商戶的名字，但美國東北部的連鎖超市Key Food Stores Co-Operative Inc.似乎也發生了類似的事情。Key Food最初在2020年3月披露了一起銀行卡數據泄露事件，但兩周前更新了咨詢，澄清EMV交易數據也被截獲。

“涉及的商店地點的POS設備是啟用EMV的，”Key Food解釋說。“對于這些地點的EMV交易，我們相信只有卡號和到期日會被惡意軟件發現（但不會發現持卡人姓名或內部驗證碼）。”

雖然Key Food的聲明在技術上可能是準確的，但它掩蓋了一個現實，即在發卡銀行沒有正確實施EMV的情況下，被竊取的EMV數據仍然可以被欺詐者用來創建磁條版的EMV卡呈現在被入侵的商店收銀機上。

此前欺詐情報公司Gemini Advisory發布了一篇博客文章，提供了更多關于最近的商戶入侵事件的信息--包括Key Food，在這些事件中，EMV交易數據被竊取，并最終在迎合盜卡者的地下商店出售。

“這次數據泄露事件中被盜的支付卡在暗網中提供銷售，”Gemini解釋說。“在發現這個漏洞后不久，幾家金融機構證實，這次漏洞中被泄露的卡都是按EMV處理的，并沒有依靠磁條作為備用。”

Gemini表示，它已經核實最近的另一起數據泄露事件--在佐治亞州的一家酒類商店--也導致了被泄露的EMV交易數據出現在出售被盜卡數據的暗網商店中。正如Gemini和Visa所指出的那樣，在這兩種情況下，銀行適當的iCVV驗證應該會使這些被截獲的EMV數據對騙子毫無用處。

Gemini認定，由于受影響的商店數量眾多，參與這些數據泄露事件的盜賊使用物理安裝的EMV卡閃光燈攔截EMV數據的可能性極小。

“鑒于這種策略極其不切實際，他們很可能使用不同的技術遠程入侵POS系統，以收集足夠的EMV數據來進行EMV旁路克隆，”該公司寫道。

Gemini的研發總監Stas Alforov表示，沒有進行這些檢查的金融機構有可能失去注意到這些卡被用于欺詐的能力。這是因為許多發行了芯片卡的銀行可能會認為，只要這些卡用于芯片交易，就幾乎不存在這些卡被克隆并在地下出售的風險。因此，當這些機構在欺詐交易中尋找模式，以確定哪些商戶可能會被POS惡意軟件入侵時，他們可能會完全不考慮任何基于芯片的支付，而只關注那些客戶刷過卡的商戶。

“卡網絡正在抓住現在有更多基于EMV的數據泄露事件發生這一事實，”Alforov說。“像大通或美國銀行這樣的大型發卡機構確實在檢查［iCVV和CVV之間的不匹配］，并將撤回不匹配的交易。但一些小機構的情況顯然不是這樣。”
責任編輯:pj