基于芯片的信用卡和借记卡旨在使撇卡设备或恶意软件在你通过蘸芯片而不是刷条子来支付时克隆你的卡是不可行的。但最近针对美国商家的一系列恶意软件攻击表明,窃贼正在利用某些金融机构实施这项技术的弱点,绕过关键的芯片卡安全功能,有效地制造可用的假卡。
传统支付卡将持卡人账户数据以明文编码在磁条上,可被偷偷安装在支付终端中的撇账设备或恶意软件读取和记录。然后,这些数据可以用磁条编码到任何其他东西上,并用于进行欺诈性交易。
较新的基于芯片的卡采用了一种名为EMV的技术,该技术对存储在芯片中的账户数据进行加密。该技术使得每次芯片卡与具有芯片能力的支付终端交互时都会生成唯一的加密密钥-称为令牌或“密文”。
实际上,所有基于芯片的卡仍然有许多存储在芯片中的数据,这些数据编码在卡背面的磁条上。这在很大程度上是因为向后兼容的原因,因为许多商家-特别是美国的商家-仍然没有完全实现芯片卡阅读器。这种双重功能还允许持卡人在卡的芯片或商家启用EMV的终端由于某种原因发生故障时刷条纹。
但是,EMV芯片上存储的持卡人数据与磁条上存储的持卡人数据之间存在着重要的区别。其中之一是芯片中的一个组件,称为集成电路卡验证值或简称为“ICVV”,也称为“动态CVV”。
ICVV不同于存储在物理磁条上的卡验证值(CVV),并且防止从芯片复制磁条数据以及使用该数据来制造假冒磁条卡。ICVV和CVV值都与卡背面可见的三位数安全代码无关,该代码主要用于电子商务交易或电话验证卡。
EMV方法的吸引力在于,即使掠夺器或恶意软件在芯片卡被浸泡时设法截获交易信息,数据也只对这一笔交易有效,不应该允许窃贼用它进行欺诈性支付。
然而,为了让EMV的安全保护发挥作用,发卡金融机构部署的后端系统应该检查当芯片卡被浸入芯片读取器时,只显示iCVV;相反,当刷卡时只显示CVV。如果对于给定的交易类型,它们不知何故不一致,金融机构应该拒绝该交易。
问题是,并不是所有的金融机构都以这种方式恰当地建立了自己的系统。不出所料,窃贼早在多年前就知道了这一弱点。2017年,我写过关于“闪光器”日益流行的文章,这是一种高科技的撇卡设备,用于拦截芯片卡交易的数据。
最近,Cyber研发实验室的研究人员发表了一篇论文,详细描述了他们如何测试来自欧洲和美国10家不同银行的11种芯片卡设备。研究人员发现,他们可以从其中4家银行收集数据,创建成功用于交易的克隆磁条卡。
现在有强有力的迹象表明,销售点(POS)恶意软件正在使用Cyber R&;D Labs详细描述的相同方法来捕获EMV交易数据,然后这些数据可以转售,并用来制造芯片卡的磁条副本。
本月早些时候,全球最大的支付卡网络Visa发布了一份安全警报,内容涉及最近发生的一起商家入侵事件,其中已知的POS恶意软件家族显然被修改为针对启用EMV芯片的POS终端。
Visa写道:“EMV®芯片等安全接受技术的实施,大大降低了威胁分子对支付账户数据的可用性,因为可用的数据只包括个人账号(PAN)、集成电路卡验证值(ICVV)和到期日。”“因此,只要ICVV经过适当的验证,假冒诈骗的风险就微乎其微。此外,许多商户都采用了点对点加密(P2PE),它对PAN数据进行了加密,进一步降低了作为EMV®Chip处理的支付账户的风险。“。
Visa没有提到有问题的商家的名字,但美国东北部的连锁超市Key Food Stores Co-operative Inc.似乎发生了类似的事情。Key Food最初披露了2020年3月的一起信用卡泄露事件,但两周前更新了其咨询意见,澄清EMV交易数据也被截获。
Key Foods解释说:“涉及的商店位置的POS设备启用了EMV。”对于这些位置的EMV交易,我们相信恶意软件只能找到卡号和到期日期(而不是持卡人姓名或内部验证码)。
尽管Key Food的声明在技术上可能是准确的,但它掩盖了这样一个事实,即在发卡银行没有正确实施EMV的情况下,被窃取的EMV数据仍可能被欺诈者用来创建出现在受损商店登记处的EMV卡的磁条版本。
今天早些时候,欺诈情报公司双子座咨询公司(Gemini Consulting)发布了一篇博客文章,提供了最近商家妥协的更多信息-包括Key Food-其中EMV交易数据被盗,最终在迎合盗卡贼的地下商店出售。
双子座解释说:“在这次入侵中被盗的支付卡是在黑暗的网络中出售的。”“在发现这一漏洞后不久,多家金融机构证实,在此次漏洞中被攻破的卡都是按EMV处理的,并不依赖磁条作为退路.”
双子座表示,它已经核实了最近发生的另一起入侵事件-发生在佐治亚州的一家酒类商店-也导致被泄露的EMV交易数据出现在出售被盗信用卡数据的黑暗网店中。正如双子座和Visa都指出的那样,在这两种情况下,来自银行的适当的iCVV验证应该会让截获的EMV数据对骗子毫无用处。
双子座确定,由于受影响的商店数量太多,涉及这些入侵的窃贼使用物理安装的EMV卡闪光器截获EMV数据的可能性极小。
该公司写道:“考虑到这种策略的极端不切实际,他们很可能使用了一种不同的技术来远程侵入POS系统,以收集足够的EMV数据来执行EMV-Bypass克隆。”
双子座研发总监斯塔斯阿尔福罗夫(Stas Alforov)说,不执行这些检查的金融机构可能会失去注意到这些卡何时被用于欺诈的能力。
这是因为许多发行芯片卡的银行可能会认为,只要这些卡用于芯片交易,这些卡就几乎没有被克隆并在地下出售的风险。因此,当这些机构在欺诈交易中寻找模式,以确定哪些商家可能受到POS恶意软件的危害时,它们可能会完全打折任何基于芯片的支付,只关注那些客户刷过他们卡的商家。
Alforov说:“信用卡网络正在意识到,现在发生的基于EMV的入侵事件要多得多。”“大通或美国银行等较大的发卡机构确实在检查(iCVV和CVV之间的不匹配),并将收回不匹配的交易。但对于一些规模较小的机构而言,情况显然并非如此。“
无论是好是坏,我们不知道哪些金融机构未能妥善执行EMV标准。这就是为什么密切关注你的每月账单,并立即报告任何未经授权的交易总是有好处的。如果你的机构让你通过短信接收交易提醒,这可能是一种近乎实时的方式来密切关注此类活动。