近期某安全大賽兩名選手僅用了21分鐘，就攻破了一款通用POS機，成功竊取到刷卡人的銀行卡賬號和密碼，并復制偽卡進行消費。

　　1. 攻擊道具

　　攻擊者使用的道具很簡單，兩臺筆記本，兩臺POS機，一臺用來攻擊，一臺用來驗證；兩張卡片，一張能正常消費的黑卡磁條卡，另一張用來復制的廢卡。

　　2. 攻擊過程

　　現場過程也很簡單：持卡人先寫出黑卡的賬號和密碼，不讓別人看到，用來核對最后攻擊者破解的結果。然后攻擊者偽裝成消費者，在輸密碼過程中對POS機動動手腳，假裝完成消費。而后面的消費者在在動了手腳的POS上刷黑卡時，攻擊者就竊取到了這張黑卡的相關信息。

　　3. 攻擊方式及結果

　　經分析攻擊者可能是利用了POS機設備里面的漏洞，并替換了設備里面關鍵應用軟件成功地破解了銀行卡賬號和密碼，并復制偽卡成功消費！

　　以上案例不失為一場精彩的演示，為此，結合案例分析其可能的原因并給出建議。

　　1.POS機安全權限問題

　　從攻擊過程分析，攻擊者使用藍牙下載攻擊程序并成功安裝，替換了POS機中關鍵應用程序，同時，攻擊者很可能獲取了POS機系統root權限。智能終端類似一臺Android手機，根據行業終端安全要求，終端設備的操作系統僅需包含必須的組件和服務，操作系統必須被安全的配置并以最小權限運行。據此要求，操作員或者攻擊者應得不到下載程序和安全應用程序的權限。據此分析該案例POS機可能存在兩種情況：一是POS機中沒有進行最小安全配置；二是攻擊者利用了某種漏洞獲取了POS機的root權限，打開了USB數據傳輸的設置并安裝了攻擊程序。針對第二種情況，行業規范中同樣要求：設備應對每個協議和接口都進行漏洞掃描和評估，確保沒有漏洞或者存在的漏洞已經被解除。

　　2. POS機應用程序安裝認證問題

　　分析該案例中攻擊者可能通過替換POS機設備關鍵應用程序，從而竊取持卡人的銀行卡賬號和密碼敏感信息。根據行業終端安全要求，POS機應用程序下載到POS機之前必須經過POS機設備固件的認證，設備不能隨便安裝未經驗證的應用程序。而實際攻擊過程中成功地安裝了一個攻擊程序，說明該POS機可能缺失對安裝新應用的認證功能，或者此認證功能保護強度不夠，很容易被屏蔽，從而失去作用。

　　3. 應用程序獲取明文密碼

　　攻擊過程中，攻擊者竊取了銀行卡磁道數據和密碼，說明在磁道數據在傳輸或者處理過程中被明文獲取，密碼在輸入時沒有被立即加密，或者明文數據存儲安全模塊保護級別不夠，被應用程序讀取，從而導致攻擊者成功獲取了明文磁道數據和密碼，復制了卡片，且在另一臺POS機中完成交易。按照行業終端安全要求，交易密碼從鍵盤輸入后應立即加密，且不能明文直接傳輸。同時，要求明文數據從輸入到加密成密文的過程中應受到相關保護機制的保護，并且所有應用程序是無法接觸到明文的。

　　在本次攻擊中，攻擊者是用了一到兩分鐘對POS機進行了操作，用攻擊程序替換了關鍵應用程序，但在實際刷卡時，柜臺操作員只允許對POS機輸入密碼，雖輸密碼時操作員理應回避，但是頂多幾十秒就可完成，若時間過長肯定會引起操作員的懷疑，所以在這么短時間內完成一個攻擊程序的安裝是不現實的，除非伙同操作員一起作案，但若伙同操作員作案屬于管理問題，與技術上無關。所以在實際消費過程中該攻擊很難成功。即便如此，仍需引起我們大家的重視，建議如下：

　　1. 對廣大持卡人建議

　　該案例中使用的銀行卡是磁條卡，與之前所有銀行卡盜刷案件類似。相對IC卡來說，磁條卡本身防護程度較低，磁道數據較易泄露并被復制成偽卡。國家近幾年在大力推行銀行IC卡，因為IC卡較磁條卡更難被復制，即使芯片卡中的數據泄露，也很難直接用于制造偽卡。為了減少防不勝防的詐騙行為，建議大家把手中的銀行磁條卡換成銀行IC卡。

　　2. 對收單機構和商戶的建議

　　隨著中國支付產業發展、支付服務方越來越多、POS機具不斷布放，商戶申請使用POS機越來越容易，但隨之而來的POS機被移機、篡改、攻擊的風險也越來越高。在本次攻擊中，攻擊者僅是用了一到兩分鐘即對POS機進行了攻擊，達到目的。中國人民銀行和銀聯對POS機具使用有明確的安全管理要求，收單機構和商戶應嚴格遵循POS機使用安全規定，不得非法改造和攻擊POS機具，同時應對采購使用的機具進行安全審查和維護。

　　3. 對終端廠商的建議

　　POS機終端廠商應對出售的POS機進行及時的升級管理和安全維護，并按照行業標準及時對存在漏洞的機具進行升級維修，嚴格按照行業認證管理要求進行生產和銷售，確保廣大用戶的用卡安全。

　　作者：老吳 馬歆裕

責任編輯：韓希宇