隐藏在支付刷卡机卡槽中的银行卡账户嗅探设备,短短数比特位的工具就可以清空你的银行卡账户。
姗姗来迟的对EMV卡(欧陆卡、大师卡和Visa)通过芯片设备所增强的安全性的并不像一些人所期望的那样神奇,它刚一出现,这些卡片就像他的前身磁条卡一样容易被“克隆”。
在这周拉斯维加斯的2016黑帽大会安全论坛上,来自Rapid7的工程师演示了如何利用一些不起眼的电子设备对ATM机进行中间人攻击。
这种设备像垫片一样被嵌入到ATM机的卡槽中,它会将用于正常现金请求的交易数据通过“快照”存储下来。
Rapid7这个研究团队的负责人 Tod Beardsley 向媒体表示,这个装置的体积很小,并且可以在不接触ATM机内部硬件的情况下实现快速安装。
一旦数据被逆向成功,那么他就可以使用这些信息建立欺诈账户并开始“疯狂取现”。
市面上最常见的ATM机正在疯狂吐钱
随着这个‘垫片’系统已经在美国南部的一些游客聚集区出现,我们可以想象,随着美国对内置芯片卡的引进,‘垫片’也会开始向北部蔓延,而且由于‘垫片’的易用性和它在频繁刷卡的情景下使用的特性,加油站的读卡器是一个很可能的目标。当然,对芯片卡的引进也有些好事儿,那就是相较于芯片卡,磁条卡被偷取的数据在被偷取后很长一段时间内,更容易用于线上交易以及在克隆卡上的复用。通过使用芯片卡,售卖这些信息的可能性会减小。
Rapid7已经联系了这些ATM机的制造商并将其研究结果告诉他们,并且赞扬了已故的 Barnaby Jack 之前所做的工作,对Rapid7研究团队避免因类似原因被起诉起了很大的帮助。尽管2010年 Barnaby Jack 对ATM的“入侵”行为几乎让他被逮捕,今天厂商们意识到白帽黑客对于他们来讲还是利大于弊一些。
(责任编辑:宋编辑)
