Thanh toán VISA bị ảnh hưởng bởi lỗ hổng bảo mật mới trong tính năng xác nhận mã PIN mới

www.tuoitre.vn -   07/09/2020 10:00:00 29

VISA vừa công bố một cảnh báo về một trình web JavaScript mới mang tên Baka, các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng xác thực trong thẻ thanh toán hỗ trợ EMV của công ty cho phép tội phạm mạng lấy tiền và lừa đảo chủ thẻ cũng như người bán một cách bất hợp pháp.

Thanh toán VISA bị ảnh hưởng bởi lỗ hổng bảo mật mới trong tính năng xác nhận mã PIN mới

Nghiên cứu được công khai bởi một nhóm nghiên cứu đến từ ETH Zurich, đây là một thủ thuật tấn công qua mã PIN cho phép tội phạm mạng lợi dụng thẻ tín dụng bị đánh cắp hoặc bị mất của nạn nhân để thực hiện các giao dịch mua có giá trị cao mà không cần biết về mã PIN của thẻ và thậm chí lừa điểm PoS chấp nhận giao dịch thẻ ngoại tuyến không xác thực.

Tất cả các thẻ không tiếp xúc sử dụng cổng Visa, bao gồm VISA Credit, VISA Debit, VISA Electron và V Pay đều bị ảnh hưởng bởi lỗ hổng bảo mật này, nhưng các nhà nghiên cứu bảo mật này cho biết có thể tác động cả cổng EMV đang sử dụng cho Discover và UnionPay. Tuy nhiên, không ảnh hưởng đến Mastercard, American Express và JCB.

Sửa đổi tiêu chuẩn giao dịch thẻ thông qua tấn công MitM

EMV (Viết tắt của Europay, Mastercard, Visa), tiêu chuẩn giao thức quốc tế vốn được sử dụng rộng rãi để thanh toán bằng các dòng thẻ thông minh, yêu cầu số tiền lớn hơn chỉ có thể ghi nợ trên thẻ tín dụng bằng mã PIN.

Thanh toán VISA bị ảnh hưởng bởi lỗ hổng bảo mật mới trong tính năng xác nhận mã PIN mới

Nhưng thiết lập do các nhà nghiên cứu ETH nghĩ ra đã khai thác một lỗ hổng nghiêm trọng trong giao thức để thực hiện cuộc tấn công man-in-the-middle (MitM) thông qua một ứng dụng Android "hướng dẫn thiết bị đầu cuối rằng không cần xác minh mã PIN vì quá trình xác minh chủ thẻ đã được thực hiện trên thiết bị của người tiêu dùng. "

Vấn đề bắt nguồn từ thực tế là phương pháp xác minh Chủ thẻ (CVM), được sử dụng để xác minh xem một cá nhân thực hiện giao dịch bằng thẻ tín dụng hoặc thẻ ghi nợ có phải là chủ thẻ hợp pháp hay không, không được bảo vệ bằng mật mã khỏi sự sửa đổi.

Do đó, Bộ định mức giao dịch thẻ (CTQ) được sử dụng để xác định kiểm tra CVM, nếu có, được yêu cầu cho giao dịch có thể được sửa đổi để thông báo cho thiết bị đầu cuối PoS ghi đè xác minh mã PIN và xác minh được thực hiện bằng thiết bị của chủ thẻ chẳng hạn như đồng hồ thông minh hoặc điện thoại thông minh (được gọi là Phương pháp xác minh chủ thẻ thiết bị tiêu dùng hoặc CDCVM).

Khai thác các giao dịch ngoại tuyến mà không bị tính phí

Hơn nữa, các nhà nghiên cứu đã phát hiện ra lỗ hổng thứ hai, liên quan đến các giao dịch ngoại tuyến không tiếp xúc được thực hiện bởi thẻ Visa hoặc thẻ Mastercard cũ, cho phép kẻ tấn công thay đổi một phần dữ liệu cụ thể được gọi là "Application Cryptogram" (AC) trước khi nó được chuyển đến thiết bị đầu cuối.

Thẻ ngoại tuyến thường được sử dụng để thanh toán trực tiếp cho hàng hóa và dịch vụ từ tài khoản ngân hàng của chủ thẻ mà không yêu cầu số PIN. Nhưng vì các giao dịch này không được kết nối với hệ thống trực tuyến, nên có sự chậm trễ từ 24 đến 72 giờ trước khi ngân hàng xác nhận tính hợp pháp của giao dịch bằng cách sử dụng mật mã và số tiền mua hàng được ghi nợ từ tài khoản.

Tội phạm có thể tận dụng cơ chế xử lý chậm trễ này để sử dụng thẻ của họ để hoàn thành một giao dịch ngoại tuyến và có giá trị thấp mà không bị tính phí, ngoài việc bỏ qua các giao dịch mua vào thời điểm ngân hàng phát hành từ chối giao dịch do sai mật mã.

Các nhà nghiên cứu cho biết: “Điều này tạo thành một cuộc tấn công 'bữa trưa miễn phí' trong đó tội phạm có thể mua hàng hóa hoặc dịch vụ có giá trị thấp mà không thực sự bị tính phí", các nhà nghiên cứu cho biết thêm. hình mẫu cho tội phạm. "

Giảm thiểu việc bỏ qua mã PIN và các cuộc tấn công ngoại tuyến

Ngoài việc thông báo cho Visa về các lỗ hổng, các nhà nghiên cứu cũng đã đề xuất ba bản sửa lỗi phần mềm cho giao thức để ngăn chặn việc bỏ qua mã PIN và các cuộc tấn công ngoại tuyến, bao gồm sử dụng Xác thực dữ liệu động (DDA) để bảo mật các giao dịch trực tuyến có giá trị cao và yêu cầu sử dụng mật mã trực tuyến trong tất cả các thiết bị đầu cuối PoS, khiến các giao dịch ngoại tuyến được xử lý trực tuyến.

Các nhà nghiên cứu kết luận: "Cuộc tấn công của chúng tôi cho thấy [ed] mã PIN vô dụng đối với các giao dịch không tiếp xúc của Visa [và] tiết lộ sự khác biệt đáng ngạc nhiên giữa tính bảo mật của các giao thức thanh toán không tiếp xúc của Mastercard và Visa, cho thấy rằng Mastercard an toàn hơn Visa", các nhà nghiên cứu kết luận. "Những sai sót này vi phạm các thuộc tính bảo mật cơ bản như xác thực và các đảm bảo khác về các giao dịch được chấp nhận."

Hương – The Hacker News

TIN CÙNG CHUYÊN MỤC

5 lý do bạn nên xóa bớt danh sách bạn bè...

15/09/2020 10:00:00 111
Số lượng bạn bè đông không phải là thành tích mà chỉ là một con số mà thôi. Nếu bạn đang tìm kiếm lý...

Chia sẻ quá mức khi trực tuyến: Những gì...

15/09/2020 10:00:00 66
Kaspersky: tổn thất tiền bạc, danh tiếng và xung đột gia đình chỉ là một số trong rất nhiều tác động...

Khảo sát từ Kaspersky: Bảo mật mạng chưa...

12/09/2020 11:00:00 57
Nghiên cứu của Kaspersky đã chỉ ra những lo ngại về việc gia tăng các hoạt động trực tuyến trong bối...

Tấn công ransomware nhắm vào SMB khu vực...

12/09/2020 10:00:00 55
Tuy nhiên, chuyên gia của Kaspersky quan sát thấy sự gia tăng ransomware đến từ những nhóm APT khét ...

Kaspersky phát hành phim tài liệu “From ...

10/09/2020 10:00:00 70
Với 3 giải thưởng và được công chiếu ở nhiều liên hoan phim tài liệu uy tín, phim tài liệu “From Kur...

Lỗ hổng bảo mật mới trong Bluetooth cho ...

10/09/2020 09:00:00 25
Công ty Bluetooth SIG – một tổ chức giám sát sự phát triển của tiêu chuẩn Bluetooth – hôm nay đã ban...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ