Cách hack nguy hiểm mới lừa hệ thống trộn lẫn các loại thẻ thanh toán, khiến mua hàng mà không cần mã PIN của thẻ tín dụng

Các nhà nghiên cứu an ninh mạng quốc tế vừa chính thức công bố phát hiện về một hình thức tấn công mới cực kỳ nguy hiểm, có thể giúp hacker đánh lừa máy bán hàng PoS (thiết bị đầu cuối của điểm bán lẻ) rằng đây là một giao dịch không tiếp xúc với thẻ Visa, trong khi trên thực tế đó lại là thẻ Mastercard. Đồng thời cho phép chúng lợi dụng thẻ tín dụng bị mất hay bị đánh cắp của nạn nhân để mua hàng có giá trị cao mà không cần biết mã PIN của thẻ.

Hình thức tấn công mới này là nội dung chính của một nghiên cứu vừa được công bố bởi các chuyên gia bảo mật đến từ Viện Công nghệ Liên bang Thụy Sĩ (ETH Zurich). Trong đó, các chuyên gia đã đi sâu vào tìm hiểu một cuộc tấn công bỏ qua mã PIN, cho phép những kẻ xấu lợi dụng thẻ tín dụng EMV bị đánh cắp hoặc bị mất của nạn nhân để thực hiện các giao dịch mua bán tùy ý.

“Đây không chỉ là một kỹ thuật trộn lẫn các thương hiệu thẻ thanh toán đơn thuần, mà còn có thể gây ra những hậu quả nghiêm trọng. Chẳng hạn, tội phạm có thể sử dụng nó kết hợp với cuộc tấn công trước đây vào Visa để bỏ qua mã PIN của thẻ Mastercard. Các thẻ của thương hiệu này thường được bảo vệ bằng mã PIN”, nhóm nghiên cứu cho biết.

Cuộc tấn công trộn lẫn các thương hiệu thẻ thanh toán

Cũng giống như cuộc tấn công trước đó liên quan đến thẻ Visa, kỹ thuật tấn công mới này về cơ bản cũng nhằm vào việc khai thác các lỗ hổng "nghiêm trọng" trong giao thức thanh toán không tiếp xúc EMV được sử dụng rộng rãi, chỉ có điều lần này mục tiêu là thẻ Mastercard.

(EMV (Europay, Mastercard, Visa) là một tiêu chuẩn giao thức quốc tế được sử dụng rộng rãi trong các hoạt động thanh toán bằng thẻ thông minh. Trong đó, chỉ khi chủ thẻ xác minh chính xác một mã PIN, những khoản tiền trong thẻ tín dụng mới có thể được ghi nợ).

Ở cấp độ cao hơn, điều này có thể đạt được bằng cách lạm dụng một ứng dụng Android để thực hiện cuộc tấn công man-in-the-middle (MitM) trên đỉnh cấu trúc tấn công chuyển tiếp. Do đó, nó cho phép ứng dụng không chỉ khởi tạo thông báo giữa hai đầu - thiết bị đầu cuối và thẻ - mà còn để đánh chặn và thao túng giao tiếp NFC (hoặc Wi-Fi) nhằm tạo ra sự không khớp giữa nhãn hiệu thẻ và mạng thanh toán một cách có chủ đích.

Nói cách khác, nếu thẻ được phát hành có thương hiệu Visa hoặc Mastercard, thì yêu cầu ủy quyền cần thiết để hỗ trợ các giao dịch EMV sẽ được chuyển đến mạng thanh toán tương ứng. Thiết bị đầu cuối thanh toán nhận dạng thương hiệu thẻ bằng cách kết hợp một chuỗi số được gọi là số tài khoản chính (PAN, còn được gọi là số thẻ) và số nhận dạng ứng dụng (AID) đóng vai trò làm mã nhận dạng duy nhất của loại thẻ (ví dụ: Mastercard Maestro hoặc Visa Electron). AID sau đó được sử dụng để kích hoạt một hạt nhân (kernel) cụ thể cho giao dịch.

Kernel EMV là một tập hợp các chức năng cung cấp tất cả dữ liệu và logic xử lý cần thiết được yêu cầu để thực hiện một giao dịch tiếp xúc hoặc không tiếp xúc EMV.

Kỹ thuật tấn công mới này, được gọi là "trộn lẫn thương hiệu thẻ", lợi dụng thực tế là các AID thường không được xác thực với thiết bị đầu cuối thanh toán, từ đó đó thể đánh lừa thiết bị đầu cuối kích hoạt một nhân có sai sót và bằng cách mở rộng, ngân hàng xử lý các thanh toán đại diện cho người bán chấp nhận các giao dịch không tiếp xúc với PAN và AID chỉ ra các nhãn hiệu thẻ khác nhau.

"Kẻ tấn công sau đó thực hiện đồng thời giao dịch Visa với thiết bị đầu cuối thanh toán và giao dịch Mastercard với thẻ", các nhà nghiên cứu cho biết.

Tuy nhiên, hình thức tấn công này cũng đòi hỏi phải đáp ứng một số điều kiện tiên quyết để có thể diễn ra thành công. Trong đó, kẻ tấn công phải có quyền truy cập vật lý vào thẻ của nạn nhân. Ngoài ra, chúng phải có thể sửa đổi lệnh của thiết bị đầu cuối và phản ứng của thẻ trước khi chuyển cho người nhận tương ứng.

Dẫu vậy, các nhà nghiên cứu cũng lưu ý rằng những lỗ hổng trong giao thức không tiếp xúc EMV có thể cho phép kẻ tấn công "xây dựng tất cả các phản hồi cần thiết được chỉ định bởi giao thức Visa từ những phản hồi thu được từ thẻ không phải Visa, bao gồm cả các bằng chứng mật mã cần thiết để nhà phát hành thẻ cho phép thực hiện giao dịch”.

Các biện pháp đối phó bổ sung từ Mastercard

Bằng cách sử dụng ứng dụng PoC Android, các nhà nghiên cứu ETH Zurich cho biết họ có thể bỏ qua mã PIN xác minh các giao dịch với thẻ tín dụng và thẻ ghi nợ Mastercard, bao gồm hai thẻ ghi nợ Maestro và hai thẻ tín dụng Mastercard, tất cả đều do các ngân hàng khác nhau phát hành. Trong đó có một giao dịch vượt quá 400 đô la.

Để khắc phục vấn đề, Mastercard đã bổ sung một số biện pháp đối phó, bao gồm việc yêu cầu các tổ chức tài chính đưa AID vào dữ liệu ủy quyền, cho phép các tổ chức phát hành thẻ kiểm tra AID đối với PAN.

Ngoài ra, mạng thanh toán này cũng đã tiến hành kiểm tra các điểm dữ liệu khác có trong yêu cầu ủy quyền có thể được sử dụng để xác định một cuộc tấn công kiểu như vậy, do đó từ chối giao dịch gian lận ngay từ đầu.

Theo The Hackernews