欢迎进入UG环球官网(环球UG)!

usdt自动充值(www.caibao.it):偷梁换柱:攻击者将万事达信用卡转换成Visa卡来偷取资金

admin3周前52

USDT自动充值接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

最近两天,网络平安研究人员披露了一种新的攻击方式,攻击者可以诱骗销售终端,让其把万事达非接触式卡误以为是Visa卡,从而举行买卖。

该研究报告是由苏黎世联邦理工学院的一群学者揭晓的,该研究报告是建立在去年9月举行的一项详细研究的基础上的,该研究涉及PIN绕过攻击,使攻击者可以行使受害者的被盗或丢失的基于EMV手艺的信用卡来提议攻击,甚至诱骗终端接受未经认证的离线卡买卖。你可以明白 EMV 是指支持 EMV 手艺的卡和刷卡机,由于EMV 刷卡机总归要接入到商户的系统中( POS 机),其读取的卡信息会经由商户的系统( POS 机)最后(直接或间接)与银行通讯,

研究人员以为销售终端的这种误把万事达卡当做Visa卡的征象不但会造成信用卡治理的杂乱,更会带来严重后果。例如,犯罪分子可以将其与先前对Visa的攻击连系使用,从而绕过万事达卡的PIN。现在,万事达卡被以为受PIN珍爱。另外一个原因是EMV是Europay(Europay后被并入MasterCard组织)、MasterCard、VISA三个信用卡国际组织团结制订的银行芯片卡借记/贷记应用的统一手艺标准。

苏黎世联邦理工学院的研究人员在负责任的披露后示意,万事达卡现在已在网络级别实行了防御机制,以阻止此类攻击。研究结果将在今年8月下旬举行的第30届USENIX平安钻研会上揭晓。

信用卡品牌混淆攻击

就像先前发生的Visa卡的攻击一样,最新研究也行使了之前普遍使用的EMV非接触式协议中的“严重”破绽,只是这次的目的是万事达卡。

从高条理上讲,这是通过使用Android应用程序实现的,该应用程序在中继攻击体系结构之上实现了中间人(MitM)攻击,从而使该应用程序不仅可以在两头(终端和卡),还会阻挡和操作NFC(或Wi-Fi)通讯,从而恶意地在差别信用卡品牌和支付网络之间引入不匹配的情形。

,

Usdt第三方支付接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

换句话说,若是刊行的卡是Visa或Mastercard品牌的卡,则促进EMV买卖所需的授权请求将路由到响应的支付网络。付款终端使用所谓的主要帐号(PAN,也称为卡号)和可唯一识别卡类型(例如万事达卡大师或Visa Electron)的应用程序标识符(AID)的组合来识别品牌,然后行使后者为买卖激活特定的内核。

EMV内核是一组函数,提供执行EMV接触或非接触事务所需的所有需要处置逻辑和数据。

现在研究人员将该攻击称为“信用卡品牌混淆攻击(card brand mixup)”,该攻击行使了以下历程:这些AID并未通过支付终端举行身份验证,因此有可能诱骗终端以激活有缺陷的内核,进而扩展为处置付款的银行,代表商家接受通过指示差别信用卡品牌的PAN和AID举行的非接触式买卖。

然后,攻击者会同时在终端上执行Visa买卖,并在卡上执行万事达卡的买卖。

然则,该攻击必须知足许多先决条件才气乐成。比如要完成这样的攻击,攻击者首先必须能够接见受害者的卡,除了能够在将终端的下令和卡的响应发送给响应的接收者之前,对其举行修改。它不需要具有root权限或行使Android中的破绽来使用观点验证(PoC)应用程序。

不外研究人员指出,EMV非接触式协议的第二个破绽可以使攻击者通过非Visa卡获得的响应中,构建Visa协议指定的所有需要响应,包罗发卡机构授权买卖所需的加密证实。

苏黎世联邦理工学院的研究人员示意,使用PoC Android应用程序,他们能够绕过PIN验证,以举行万事达信用卡和借记卡的买卖,包罗两张Maestro借记卡和两张万事达信用卡,这些都是由差别的银行刊行的。针对这个可能的买卖,万事达信用卡增加了许多平安对策,包罗要求金融机构在授权数据中包罗AID,从而允许发卡机构凭据PAN检查AID。

此外,该支付网络还对授权请求中泛起的其他数据点举行了检查,这些数据点可用于识别此类攻击,在一开始就拒绝敲诈性买卖。

本文翻译自:https://thehackernews.com/2021/02/new-hack-lets-attackers-bypass.html:
上一篇 下一篇

猜你喜欢

网友评论

  • 2021-03-31 00:06:07

    Allbet欧博官网欢迎进入allbet欧博官网。allbet欧博官网开放ALLBET欧博真人客户端、Allbet代理网页版、Allbet会员网页版、Allbet会员注册、Allbet代理开户、Allbet电脑客户端下载、Allbet手机版下载等业务。真的行,太可了

随机文章
热门文章
热评文章
热门标签