新黑客可以让攻击者绕过万事达卡PIN，将其用作Visa卡

网络安全研究人员披露了一种新的攻击，犯罪分子可以利用这种攻击诱骗销售点终端与受害者的Mastercard非接触式卡进行交易，同时相信该卡是Visa卡。

这项研究由苏黎世ETH的一组学者发表，其基础是去年9月的一项详细研究，该研究对PIN绕过攻击进行了深入研究，允许坏人利用受害者被盗或丢失的Visa EMV信用卡进行高价值购买，而不知道该卡的PIN，甚至欺骗终端接受不真实的离线卡交易。

研究人员戴维·巴森、拉尔夫·萨塞和豪尔赫·托罗说：“这不仅仅是一个纸牌品牌的混搭，而且会产生严重的后果。”。“例如，犯罪分子可以将其与之前对Visa的攻击结合起来，绕过万事达卡的PIN。该品牌的卡以前被认为受PIN保护。”

苏黎世ETH的研究人员在负责任的披露后表示，万事达卡在网络层面实施了防御机制，以阻止此类攻击。研究结果将在今年8月晚些时候举行的第30届USENIX安全研讨会上公布。

卡牌混搭攻击

就像之前涉及Visa卡的攻击一样，最新的研究也利用了广泛使用的EMV非接触式协议中的“严重”漏洞，只是这一次的目标是万事达卡。

从更高的层面来看，这是通过使用Android应用程序实现的，该应用程序在中继攻击体系结构上实现了中间人（MitM）攻击，从而允许该应用程序不仅在两端之间启动消息—；终端和卡—；还可以拦截和操纵NFC（或Wi-Fi）通信，恶意引入卡品牌与支付网络之间的不匹配。

换句话说，如果发行的卡是Visa或Mastercard品牌的，则促进EMV交易所需的授权请求将被路由到相应的支付网络。支付终端使用所谓的主账号（PAN，也称为卡号）和唯一标识卡类型的应用标识符（AID）的组合来识别该品牌（如Mastercard Maestro或Visa Electron），然后利用后者为事务激活特定的内核。

EMV内核是一组函数，提供执行EMV接触式或非接触式事务所需的所有必要处理逻辑和数据。

这起被称为“卡牌混搭”的攻击利用了一个事实，即这些辅助设备没有经过支付终端的身份验证，因此有可能欺骗终端激活有缺陷的内核，进而欺骗代表商户处理支付的银行，接受非接触式交易，使用PAN和显示不同卡品牌的辅助工具。

研究人员概述道：“然后，攻击者同时使用终端执行Visa交易，并使用该卡执行Mastercard交易。”。

然而，攻击必须满足一些先决条件才能成功。值得注意的是，犯罪分子除了能够修改终端的命令和卡的响应，还必须能够访问受害者的卡，然后才能将它们发送给相应的接收者。它不需要拥有root权限，也不需要利用Android中的漏洞来使用概念验证（PoC）应用程序。

但研究人员指出，EMV非接触式协议的第二个缺点可能会让攻击者“从非Visa卡获得的响应中构建Visa协议指定的所有必要响应，包括发卡机构授权交易所需的加密证明。”

万事达卡增加了应对措施

Using the PoC Android app, ETH Zurich researchers said they were able to bypass PIN verification for transactions with Mastercard credit and debit cards, including two Maestro debit and two Mastercard credit cards, all issued by different banks, with one of the transactions exceeding $400.

作为对调查结果的回应，万事达卡增加了一些应对措施，包括强制金融机构将援助纳入授权数据，允许发卡机构对照PAN检查援助。

此外，支付网络还对授权请求中存在的其他数据点进行了检查，这些数据点可用于识别此类攻击，从而从一开始就拒绝了欺诈交易。