當地時間2月23日，瑞士蘇黎世聯邦理工學院表示，在去年9月發現了VISA信用卡安全漏洞，他們發現萬事達卡也存在類似安全漏洞。

本質是中間人攻擊

無PIN碼支付，就是無密碼支付，對于每個常用銀行卡的人來說都不陌生。無論是在國內還是國外，使用信用卡進行小額支付時，都可以選擇無密碼支付，國內叫做小額免密免簽支付，當進行大額支付時，為保證資金安全則需要使用密碼進行支付。

這樣的策略是再均衡了便捷和安全性得到的，哪怕持卡人丟失了信用卡，也不會蒙受重大損失。但是瑞士蘇黎世聯邦理工學院的研究人員發現的安全漏洞，讓這個安全策略失效了。

研究人員稱，成功攻擊需要4個部分：2個安卓手機、一個特殊的App和一個VISA非接支付卡。安卓App需要安裝在2個智能手機上，分別進行卡和POS機的模擬。

攻擊的主要思路是POS機模擬器要求卡進行支付、修改交易細節，然后通過WiFi發送修改后的數據到第二個智能手機，進行無需提供PIN碼的大額支付。因為攻擊者已經修改了交易數據，所以無需輸入PIN碼。

研究人員分析稱，攻擊能夠成功的原因是VISA無接觸支付協議和EMV標準中的設計漏洞。攻擊者利用這些漏洞可以對無接觸支付交易中的數據進行修改，包括控制交易詳情的域和卡所有者是否經過驗證。

交易中的卡持有者驗證方法既沒有經過認證，也沒有進行加密保護。攻擊過程中會對卡的數據對象Card Transaction Qualifiers進行修改。

為什么漏洞會影響萬事達卡?

據研究人表示，VISA信用卡漏洞是基于EMV標準的信用卡來發起攻擊。EMV三個字母分別代表Europay、MasterCard與VISA，是制定該標準最初的三家公司，是國際金融業界對于智能支付卡與可使用芯片卡的POS終端機及自動柜員機（ATM）等所制定的標準。

也就是說，只要使用了這套標準的信用卡幾乎都會受到這個漏洞的影響，但是在具體的攻擊手段上有所區別。

針對萬事達卡的攻擊同樣利用EMV標準里的安全漏洞，但是在攻擊時，多加了一道步驟：混淆信用卡品牌。

在正常的信用卡使用過程中，終端除了會識別信用卡卡號之外，還會根據唯一可識別標識符來確定信用卡的品牌，然后接入到相應的清算網絡當中，然后進行正常交易。

在攻擊過程中，攻擊者同樣使用兩臺手機分別做POS機模擬和卡模擬。與VISA卡攻擊不同在于，攻擊者會通過程序操縱NFC（或Wi-Fi）通訊，混淆唯一可識別標識符，讓模擬POS機的終端誤認為是在進行VISA卡交易。

這樣就形成了POS機終端執行VISA交易，而卡本身執行萬事達卡交易，完成攻擊。研究人員證實，有四家銀行發行的信用卡和借記卡被攻破。

這樣的攻擊并不能輕易的做到，研究人員表示，在攻擊前，攻擊者必須能夠訪問被攻擊的信用卡，在數據響應發送前對數據進行修改。

責任編輯：Rachel