セキュリティ上の脆弱性により、Visa の非接触型決済の PIN リクエストをバイパスできます。 ETH チューリッヒの研究者は、犯罪者が暗証番号を知らずにクレジット カードで支払いを行うために使用できる脆弱性を発見しました。
チューリッヒにあるスイス連邦工科大学 (ETH チューリッヒ) の研究チームは、攻撃者が PIN 要求をバイパスしてクレジット カード詐欺を犯す可能性があるクレジット カード プロバイダー Visa からの非接触型決済の EMV プロトコルにセキュリティ上の脆弱性を発見しました。
非接触型決済では、通常、商品やサービスの支払いに制限があります。 これを超えるとすぐに、カード端末はカード所有者に PIN の確認を要求します。 しかし、「The EMV Standard: Break, Fix, Verify」と題された新しい調査では、犯罪者が欠陥のあるクレジット カードを使用して、PIN を入力することなく不正な購入を行うことができることが示されています。
ビザ支払い: 攻撃のデモンストレーション
科学者たちは、XNUMX 台の Android 携帯、非接触型クレジット カード、およびこの目的のために特別に開発された Android アプリを使用して、攻撃の実現可能性を実証しました。攻撃者の POS エミュレーター。 攻撃者のデバイスは、WiFi 経由で相互に通信し、NFC 経由で端末とカードと通信します」と研究者は説明しています。 このアプリは、特別なルート権限や Android ハックを必要としません。
「この攻撃は、端末に送信される前に、カードのデータ オブジェクト (「Card Transaction Qualifier」) を変更することで構成されています」と調査レポートは述べています。 この変更は、PIN 検証が不要であり、カード所有者が消費者のデバイスによって既に検証されていることを端末に指示します。
PIN バイパス攻撃
研究者は、9 つの非接触 EMV プロトコル (Mastercard、Visa、American Express、JCB、Discover、UnionPay) のいずれかで PIN バイパス攻撃をテストしました。 ただし、実際には検証されていませんが、攻撃は Discover および UnionPay プロトコルでも機能する可能性があると考えています。 スマート カード決済の国際標準プロトコルである EMV は、世界中で 2019 億を超えるカードで使用されており、80 年 XNUMX 月現在、世界中のすべてのカード取引の XNUMX% 以上で使用されています。
研究者が実験室で攻撃をテストしただけでなく、Visa クレジット、Visa エレクトロン、V-Pay カードを使用して店舗で実行したことも注目に値します。 もちろん、テストには独自のマップを使用しました。
攻撃が目立ちにくい
研究者によると、顧客がスマートフォンで商品の支払いを行うことは一般的であるため、チェックアウト スタッフが Visa 支払いを行うときにこれらの攻撃に気付くことは困難です。 調査により、別のセキュリティの脆弱性も明らかになりました。 古いVisaまたはMastercardカードを使用したオフラインの非接触型トランザクションの場合、カードによって生成されたデータ、いわゆる「トランザクションクリプトグラム」が端末に送信される前に変更される可能性があります.
ただし、このデータは端末では確認できず、カード発行会社、つまり銀行のみが確認できます。 その時までに、犯罪者は彼の商品とともに姿を消しました。 倫理上の理由から、この攻撃は研究チームによって実際のカード端末でテストされていません。
もちろん、チームはビザの会社に彼らの発見を知らせました.
詳細については、ESET.com の WeLiveSecurity ブログをご覧ください。
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。