YERALTINDAN NOTLAR - 13.Bölüm | Yazılmış En Kısa Öykü, Dertleşme ve Gölge Teorisi
目录:
近年来很多针对零售和酒店业的大型支付卡违规行为是攻击者感染销售点系统的内存扫描恶意软件。但由于读卡器与POS支付应用程序之间缺乏身份验证和加密,窃取此类数据的方法更为简单。
POS系统是专用计算机。他们通常运行Windows并具有键盘,触摸屏,条形码扫描仪和带PIN密码的读卡器等外围设备。他们还安装了专门的支付应用程序来处理交易。
攻击者从PoS系统中窃取支付卡数据的常用方法之一是通过盗取的远程支持凭证或其他技术来恶意软件感染它们。这些恶意软件程序被称为内存或RAM扫描程序,因为它们在POS系统上的支付应用程序处理信用卡数据时扫描系统内存。
[更多阅读:如何从Windows PC删除恶意软件]目标:汽油泵
但是在周二在拉斯维加斯举行的BSides会议上,来自美国的POS和ATM制造商NCR的安全研究人员Nir Valtman和Patrick Watson展示了一种更隐蔽和更有效的攻击技术,交互的支付点“,包括带密码键盘的读卡器,甚至是燃气泵支付终端。
所有这些设备共享的主要问题是,在将数据发送回POS支付软件时,他们不使用认证和加密。这使他们面临中间人攻击,通过外部设备进行网络或串行连接,或者通过运行POS系统本身的“填充软件”进行。
对于他们的演示,研究人员使用了带有流量的Raspberry Pi设备捕获软件,使用支付应用模拟器在PIN键盘和笔记本电脑之间切换数据线。密码键盘有一个定制的顶盖以隐藏其制造商和型号;研究人员并不想单独选出某个特定的供应商,因为其中许多供应商都受到影响。
虽然演示使用了可由内部人员或作为技术人员的人员安装的外部设备,但攻击者也可以简单地修改支付应用程序的DLL(动态链接库)文件可以在操作系统本身内部进行数据拦截,只要它们可以远程访问它。一个由合法支付软件加载的修改过的DLL比抓取内存的恶意软件要难得多。
研究人员Patrick Watson和Nir Valtman导致付款终端显示虚假的重新输入PIN提示。 NCR研究人员表示,攻击者不仅可以利用这种攻击技术窃取卡片磁条上编码的数据,这些数据可以用来克隆它,还可以诱骗持卡人揭露他们的PIN码甚至安全打印在卡背面的代码
通常,密码键盘在将PIN码传输到PoS软件时会对其进行加密。这是一个行业要求,制造商必须遵守
“请重新输入PIN码” - 攻击者可以窃取它
然而,中间人攻击者也可以在PIN键盘屏幕上注入流氓提示通过上传所谓的自定义表单。这些屏幕提示可以说任何攻击者想要的内容,例如“重新输入PIN码”或“输入卡片安全码”。
安全专业人员可能知道他们永远不应该重新输入他们的PIN码或卡片安全码,也就是所谓的CVV2s,只需要在线,无卡交易,但普通消费者通常不知道这些东西,研究人员说。事实上,他们向专业人士展示了这种攻击方法他们表示,过去90%的企业并不怀疑PIN重新进入屏幕,
一些密码键盘有白名单,可以限制哪些字可以出现在自定义屏幕上,但许多白名单允许使用“请重新输入”字样,即使它们没有,也可以绕过过滤器,因为密码键盘自定义形式允许图片。攻击者可以简单地使用这些文字注入图像,使用通常在屏幕上显示的相同文本颜色和字体。
同样值得注意的是,这种攻击针对符合EMV标准的读卡器和密码键盘,这意味着他们支持芯片卡。 EMV技术不会阻止攻击者使用芯片卡上的盗窃数据创建克隆,并在尚不支持EMV的国家或未启用EMV且仅允许刷卡的终端中使用该数据。
另外,EMV对电子商务交易没有任何影响,所以如果攻击者获得了卡的跟踪数据和卡的CVV2代码,他们就拥有了在线进行欺诈交易所需的所有信息。
对于制造商来说,研究人员建议实施点对点加密(P2PE),该加密将整个连接从密码键盘一直加密到支付处理器。如果P2PE无法在现有硬件上实施,供应商至少应考虑使用TLS(传输层安全性)保护其PIN密码和POS软件之间的通信,并对支付应用程序发送回密码键盘的所有请求进行数字签名。
同时,如果有提示,消费者永远不应该在密码键盘上重新输入PIN码。他们还应该阅读屏幕上显示的消息,并怀疑那些要求提供更多信息的消息。应尽可能使用Apple Pay等数字钱包服务进行移动支付,因为此时它们比使用传统支付终端更安全。
