Cách hack nguy hiểm mới lừa hệ thống trộn lẫn các loại thẻ thanh toán, khiến mua hàng mà không cần mã PIN của thẻ tín dụng

www.tuoitre.vn -   18/02/2021 12:00:00 1348

Các nhà nghiên cứu an ninh mạng quốc tế vừa chính thức công bố phát hiện về một hình thức tấn công mới cực kỳ nguy hiểm, có thể giúp hacker đánh lừa máy bán hàng PoS (thiết bị đầu cuối của điểm bán lẻ) rằng đây là một giao dịch không tiếp xúc với thẻ Visa, trong khi trên thực tế đó lại là thẻ Mastercard. Đồng thời cho phép chúng lợi dụng thẻ tín dụng bị mất hay bị đánh cắp của nạn nhân để mua hàng có giá trị cao mà không cần biết mã PIN của thẻ.

Cách hack nguy hiểm mới lừa hệ thống trộn lẫn các loại thẻ thanh toán, khiến mua hàng mà không cần mã PIN của thẻ tín dụng

Hình thức tấn công mới này là nội dung chính của một nghiên cứu vừa được công bố bởi các chuyên gia bảo mật đến từ Viện Công nghệ Liên bang Thụy Sĩ (ETH Zurich). Trong đó, các chuyên gia đã đi sâu vào tìm hiểu một cuộc tấn công bỏ qua mã PIN, cho phép những kẻ xấu lợi dụng thẻ tín dụng EMV bị đánh cắp hoặc bị mất của nạn nhân để thực hiện các giao dịch mua bán tùy ý.

“Đây không chỉ là một kỹ thuật trộn lẫn các thương hiệu thẻ thanh toán đơn thuần, mà còn có thể gây ra những hậu quả nghiêm trọng. Chẳng hạn, tội phạm có thể sử dụng nó kết hợp với cuộc tấn công trước đây vào Visa để bỏ qua mã PIN của thẻ Mastercard. Các thẻ của thương hiệu này thường được bảo vệ bằng mã PIN”, nhóm nghiên cứu cho biết.

Cuộc tấn công trộn lẫn các thương hiệu thẻ thanh toán

Cũng giống như cuộc tấn công trước đó liên quan đến thẻ Visa, kỹ thuật tấn công mới này về cơ bản cũng nhằm vào việc khai thác các lỗ hổng "nghiêm trọng" trong giao thức thanh toán không tiếp xúc EMV được sử dụng rộng rãi, chỉ có điều lần này mục tiêu là thẻ Mastercard.

(EMV (Europay, Mastercard, Visa) là một tiêu chuẩn giao thức quốc tế được sử dụng rộng rãi trong các hoạt động thanh toán bằng thẻ thông minh. Trong đó, chỉ khi chủ thẻ xác minh chính xác một mã PIN, những khoản tiền trong thẻ tín dụng mới có thể được ghi nợ).

Ở cấp độ cao hơn, điều này có thể đạt được bằng cách lạm dụng một ứng dụng Android để thực hiện cuộc tấn công man-in-the-middle (MitM) trên đỉnh cấu trúc tấn công chuyển tiếp. Do đó, nó cho phép ứng dụng không chỉ khởi tạo thông báo giữa hai đầu - thiết bị đầu cuối và thẻ - mà còn để đánh chặn và thao túng giao tiếp NFC (hoặc Wi-Fi) nhằm tạo ra sự không khớp giữa nhãn hiệu thẻ và mạng thanh toán một cách có chủ đích.

Cách hack nguy hiểm mới lừa hệ thống trộn lẫn các loại thẻ thanh toán, khiến mua hàng mà không cần mã PIN của thẻ tín dụng

Nói cách khác, nếu thẻ được phát hành có thương hiệu Visa hoặc Mastercard, thì yêu cầu ủy quyền cần thiết để hỗ trợ các giao dịch EMV sẽ được chuyển đến mạng thanh toán tương ứng. Thiết bị đầu cuối thanh toán nhận dạng thương hiệu thẻ bằng cách kết hợp một chuỗi số được gọi là số tài khoản chính (PAN, còn được gọi là số thẻ) và số nhận dạng ứng dụng (AID) đóng vai trò làm mã nhận dạng duy nhất của loại thẻ (ví dụ: Mastercard Maestro hoặc Visa Electron). AID sau đó được sử dụng để kích hoạt một hạt nhân (kernel) cụ thể cho giao dịch.

Kernel EMV là một tập hợp các chức năng cung cấp tất cả dữ liệu và logic xử lý cần thiết được yêu cầu để thực hiện một giao dịch tiếp xúc hoặc không tiếp xúc EMV.

Kỹ thuật tấn công mới này, được gọi là "trộn lẫn thương hiệu thẻ", lợi dụng thực tế là các AID thường không được xác thực với thiết bị đầu cuối thanh toán, từ đó đó thể đánh lừa thiết bị đầu cuối kích hoạt một nhân có sai sót và bằng cách mở rộng, ngân hàng xử lý các thanh toán đại diện cho người bán chấp nhận các giao dịch không tiếp xúc với PAN và AID chỉ ra các nhãn hiệu thẻ khác nhau.

Cách hack nguy hiểm mới lừa hệ thống trộn lẫn các loại thẻ thanh toán, khiến mua hàng mà không cần mã PIN của thẻ tín dụng

"Kẻ tấn công sau đó thực hiện đồng thời giao dịch Visa với thiết bị đầu cuối thanh toán và giao dịch Mastercard với thẻ", các nhà nghiên cứu cho biết.

Tuy nhiên, hình thức tấn công này cũng đòi hỏi phải đáp ứng một số điều kiện tiên quyết để có thể diễn ra thành công. Trong đó, kẻ tấn công phải có quyền truy cập vật lý vào thẻ của nạn nhân. Ngoài ra, chúng phải có thể sửa đổi lệnh của thiết bị đầu cuối và phản ứng của thẻ trước khi chuyển cho người nhận tương ứng.

Dẫu vậy, các nhà nghiên cứu cũng lưu ý rằng những lỗ hổng trong giao thức không tiếp xúc EMV có thể cho phép kẻ tấn công "xây dựng tất cả các phản hồi cần thiết được chỉ định bởi giao thức Visa từ những phản hồi thu được từ thẻ không phải Visa, bao gồm cả các bằng chứng mật mã cần thiết để nhà phát hành thẻ cho phép thực hiện giao dịch”.

Cách hack nguy hiểm mới lừa hệ thống trộn lẫn các loại thẻ thanh toán, khiến mua hàng mà không cần mã PIN của thẻ tín dụng

Các biện pháp đối phó bổ sung từ Mastercard

Bằng cách sử dụng ứng dụng PoC Android, các nhà nghiên cứu ETH Zurich cho biết họ có thể bỏ qua mã PIN xác minh các giao dịch với thẻ tín dụng và thẻ ghi nợ Mastercard, bao gồm hai thẻ ghi nợ Maestro và hai thẻ tín dụng Mastercard, tất cả đều do các ngân hàng khác nhau phát hành. Trong đó có một giao dịch vượt quá 400 đô la.

Để khắc phục vấn đề, Mastercard đã bổ sung một số biện pháp đối phó, bao gồm việc yêu cầu các tổ chức tài chính đưa AID vào dữ liệu ủy quyền, cho phép các tổ chức phát hành thẻ kiểm tra AID đối với PAN.

Ngoài ra, mạng thanh toán này cũng đã tiến hành kiểm tra các điểm dữ liệu khác có trong yêu cầu ủy quyền có thể được sử dụng để xác định một cuộc tấn công kiểu như vậy, do đó từ chối giao dịch gian lận ngay từ đầu.

Theo The Hackernews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 34
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 39
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 36
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 33
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 29
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 19
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ