ثغرة جديدة تهدد مدفوعات Visa اللاتلامسية

متابعات-ميكسي نيوز

Visa…حتى عندما أصدرت Visa تحذيرًا حول مقشدة ويب JavaScript الجديدة المعروفة باسم باكا، كشف باحثو الأمن السيبراني عن عيب المصادقة في بطاقات الدفع الخاصة بـ EMV التي تتيح للشركة التي تسمح للمجرمين الإلكترونية بالحصول على أموال وحاملي بطاقات الاحتيال وكذلك التجار بشكل غير قانوني.

ال بحث، التي نشرتها مجموعة من الأكاديميين من Eth Zurich ، هجوم الالتفاف الدبوس يسمح ذلك للخصوم بالاستفادة من بطاقة الائتمان المسروقة أو المفقودة للضحية لإجراء عمليات شراء عالية القيمة دون معرفة دبوس البطاقة ، وحتى خداع محطة بيع (POS) لقبول معاملة البطاقة غير المصاحبة للبطاقات غير المصاحبة.

تتأثر جميع البطاقات الحديثة التي لا تلامس التي تستخدم بروتوكول التأشيرة ، بما في ذلك ائتمان التأشيرة ، وخصم التأشيرة ، وبطاقات Visa Electron ، و V Pay ، من عيب الأمن ، لكن الباحثين قد افترضوا أنه يمكن أن ينطبق على بروتوكولات EMV التي تنفذها Discover و UnionPay أيضًا. الثغرة ، ومع ذلك ، لا تؤثر على MasterCard و American Express و JCB.

سيتم تقديم النتائج في ندوة IEEE 42 الأمن والخصوصية ليعقد في سان فرانسيسكو في مايو المقبل.

تعديل تصفيات معاملة البطاقات عبر هجوم MITM

EMV (قصير بالنسبة لـ Europay و MasterCard و Visa) ، يستلزم معيار البروتوكول الدولي المستخدم على نطاق واسع لدفع البطاقة الذكية ، أنه لا يمكن خصم المبالغ الأكبر إلا من بطاقات الائتمان برمز دبوس.
لكن الإعداد الذي ابتكره باحثو ETH يستغل عيبًا حاسمًا في البروتوكول لتركيب هجوم رجل في الوسط (MITM) عبر تطبيق Android “يرشد المحطة التي لا يلزم التحقق من دبوسها لأن التحقق من حامل البطاقة تم تنفيذه على جهاز المستهلك”.

تنبع المشكلة من حقيقة أن طريقة التحقق من حامل البطاقة (CVM) ، والتي يتم استخدامها للتحقق مما إذا كان الفرد الذي يحاول معاملة مع بطاقة ائتمان أو بطاقة الخصم هو حامل البطاقة الشرعي ، غير محمي تشفيرًا من التعديل.

https://www.youtube.com/watch؟v=jyusmlxcct8

نتيجةً لذلك ، يمكن تعديل مؤهلات معاملة البطاقة (CTQ) المستخدمة لتحديد ما هو فحص CVM ، إن وجد ، للمعاملة لإبلاغ محطة نقاط البيع لتجاوز التحقق من الدبوس وأن التحقق تم إجراء التحقق باستخدام جهاز حامل البطاقة مثل ساعة ذكية أو هاتف ذكي (يُسمى طريقة جهاز الجهاز المستهلك أو CDCVM).

استغلال المعاملات دون اتصال بالإنترنت دون فرض رسوم

علاوة على ذلك ، كشف الباحثون عن ثغرة أمنية ثانية ، والتي تتضمن معاملات غير متصلة بالإنترنت التي تنفذها إما تأشيرة أو بطاقة MasterCard القديمة ، مما يسمح للمهاجم بتغيير جزء معين من البيانات تسمى “تشفير التطبيق” (AC) قبل تسليمها إلى المحطة.

عادةً ما يتم استخدام البطاقات غير المتصلة للدفع مباشرة مقابل السلع والخدمات من الحساب المصرفي لحامل البطاقة دون الحاجة إلى رقم رقم التعريف الشخصي. ولكن نظرًا لأن هذه المعاملات غير متصلة بنظام عبر الإنترنت ، فهناك تأخير يتراوح من 24 إلى 72 ساعة قبل أن يؤكد البنك شرعية المعاملة باستخدام التشفير ، ويتم خصم مبلغ الشراء من الحساب.

يمكن للمجرم الاستفادة من آلية المعالجة المتأخرة هذه لاستخدام بطاقته لإكمال المعاملة ذات القيمة المنخفضة وغير المتصلة دون أن يتم فرضها ، بالإضافة إلى التخلص من المشتريات بحلول الوقت الذي يرفض البنك المصدر المعاملة بسبب التشفير الخاطئ.

وقال الباحثون: “هذا يشكل هجومًا” غداءًا مجانيًا “حيث يمكن للمجرم شراء سلع أو خدمات منخفضة القيمة دون أن يتم توجيه الاتهام إليها على الإطلاق” ، مضيفًا أن الطبيعة ذات القيمة المنخفضة لهذه المعاملات من غير المرجح أن تكون “نموذج أعمال جذاب للمجرمين”.

تخفيف هجمات الدبوس والهجمات غير المتصلة بالإنترنت

بصرف النظر عن إخطار تأشيرة العيوب ، اقترح الباحثون أيضًا ثلاثة إصلاحات برامج للبروتوكول لمنع الالتفاف على الدبوس والهجمات غير المتصلة بالإنترنت ، بما في ذلك استخدام

 

مصادقة البيانات الديناميكية (DDA) لتأمين المعاملات عبر الإنترنت عالية القيمة وتتطلب استخدام التشفير عبر الإنترنت في جميع محطات نقاط البيع ، والتي تسبب معاملات في وضع عدم الاتصال عبر الإنترنت.

 

وخلص الباحثون إلى أن “عرض الهجوم لدينا (ed) بأن الدبوس لا جدوى بالنسبة للمعاملات التي لا تتواصل مع التأشيرة (و) كشفت عن اختلافات مفاجئة بين أمان بروتوكولات الدفع بدون اتصال في Mastercard و Visa ، مما يدل على أن MasterCard أكثر أمانًا من التأشيرة”.

“هذه العيوب تنتهك الخصائص الأمنية الأساسية مثل المصادقة والضمانات الأخرى حول المعاملات المقبولة.”