最近,英国Newcastle大学的安全研究员在VISA的非接触式付款卡中发现了一个安全漏洞,利用该漏洞攻击者只需使用手机就可以从别人的钱包里偷取大量现金。
非接触式支付卡使用的是加密芯片(cryptoprocessor)和RFID技术来进行无线支付,而不需要向传统的付款方式那样要把银行卡插进读卡器才能完成付款。一部具有NFC功能的手机就可以实现非接触支付。
在英国,这种非接触卡有20英镑的购买额度限制。在购物时,用户无须输入PIN密码而直接刷过即可付款。但是该非接触式银行卡中存在一个漏洞——不能识别外币交易,因此网络犯罪者可能会利用这一漏洞进行非法转账,并且非法转账的金额最高可达到999,999.99美元。
研究人员在第21届安全通信和计算机会议上,详细介绍了这一攻击过程:攻击者通过手机上安装的POS终端,预先设置好转账金额,再把手机靠近受害者的钱包即可进行非法转账。
该项目的首席研究员在研究结果声明中称,攻击者只需一个安装了POS终端的手机即可完成巨额的转账,而无需在交易终端进行。但专家们担心的是,犯罪分子可能会利用这个漏洞以小额的方式进行转账,这样就既可以窃取到钱财又很难被追查的到。
以上内容听起来很可怕对吧,但是还有一个好消息就是该项发现目前只是处在实验阶段,还没有应用到实际中去。
据英国广播公司报道,Visa欧洲声称:“我们已经审阅了Newcastle大学调查结果,我们会继续专注我们的安全并全力打击这种欺诈支付手段。另外,这种研究并没有考虑到Vias有多种保障机制,该项发现在实验室之外是很难完成的。”
Vias欧洲也同时表示,该公司正在更新保障机制,并且会增加在线支付交易身份验证,使得这种攻击更难进行。
原文地址:http://thehackernews.com/2014/11/hackers-can-steal-99999999-from-visa.html
