t0144ad776238a44859.jpg

卡姆卡去年八月把自己的美国运通卡弄丢了,并收到了一封补卡邮件。邮件里写着的新卡最后的几位数让他提高警觉。作为一个对什么都好奇的安全研究员和一个捣蛋鬼,他开始将最后的几位数字与之前遗失的三张卡片相比较,果然在其中发现了规律。

卡姆卡给他的朋友发了简讯,希望获得朋友们最近失效的以及现在持有的运通卡最后几位数字。十个朋友回应了他。同样地,他在朋友们的卡片数字中发现了相同的模式。在拥有了这些数字后,卡姆卡可以预测他的朋友们即将拿到的下一张卡片的全部序列号。

http://p9.qhimg.com/t0118e2857eb68c462c.jpg

马上,卡姆卡发现了一种肮脏诈骗手段。任何黑客只要知道一张报挂失的运通卡的卡号,就能立马获知其替补卡的卡号,并且,利用挂失卡的挂失日期还能获知替补卡的失效日期。“在卡片被注销的那一刻,两秒后我就能知道你新卡的卡号和失效日期是什么,”卡姆卡说。“如果我做欺诈生意,这种手段将非常有用。”这手段可以被重复使用,偷盗新卡卡号比美国运通局造卡的速度还要快。

三个月后,卡姆卡仅用10美元就制造了一个小设备专门用来证明这种卡号预测漏洞的危险性,并说服美国运通局解决它。这款手表大小的工具被他称作“MagSpoof”,它可以存储超过一百个信用卡号并且发出的电子信号足以被附近信用卡传感器捕获,该信号能够模仿信用卡被刷的情况。卡姆卡的设备上一个按键实现了卡号预测算法。如果一个罪犯利用MagSpoof去预测一张已注销卡的替补卡卡号,这个设备马上就能有反应。一周之后,当骗子可以确定新卡已经被激活,他们就可以再盗刷一次了。“只要卡被注销,你在这一按按钮就能知道新卡卡号,”卡姆卡说。“这对用户来说就是噩梦,因为这让他们丢卡就在一瞬间。”

卡姆卡承认这种攻击不能获得信用卡的CVV号码,这降低了卡片能够使用的范围。并且,MagSpoof也并不像一张信用卡,所以小偷把它交给收银员,后者也不大会相信。

但卡姆卡指出他可以使用数字信用卡设备,如Coin,去存储MagSpoof生成的信用卡号,这种技术使得号码预测技巧更难被发现。“如果你不想把MagSpoof交给别人,那就给他们Coin。”

卡姆卡说他与美国运通局的多次沟通,最后还与一个工程师讨论了一个多小时。该工程师确信他能够预测卡号这件事并没有太大的安全风险,至少这并不在他们修复计划之内。美国运通局发言人随后指出运通卡用户在被他人获知卡号后依然受到额外保护,就像嵌在卡片词条数据中额外的安全码,以及美国现在通用的芯片PIN技术,这会保证当发生购买行为时需要卡片里的芯片。

美国运通的发言人阿什利塔夫茨说:“仅知道卡号并不能让小偷面对面完成交易,因为卡片产品需要物理接触商店的刷卡机。另外,嵌入在卡片产品中的安全码需要被验证。对于EMV芯片和磁条卡来说,安全码与卡号有关,并且无法被预测。”她还指出公司拒绝透露其他安全措施的细节。

卡姆卡证实了美国运通卡中的安全词条码似乎能够阻止他在某些情况下的预测攻击。他也不确定这种伎俩能够在那些销售点起作用。但他发现,例如,他能够在两家不同的餐厅使用预测出的卡号——一家快餐店和一家高档餐厅——并支付了超过100美元。他在上面的视频中展示了MagSpoof在快餐店成功支付的场景(当然,测试过程中用的是自己的卡)。

卡姆卡认为,受害人卡片的芯片PIN保护似乎并不能够阻止MagSpoof的攻击。卡片中额外芯片在卡片与读卡器交互时就像一个安全门,他说。通过“无芯片”信号的欺骗手段可以让读卡器认为偷来的这张运通卡是没有内嵌芯片的。

卡姆卡说他利用一个可编程Atmel AT微型可编程控制器,电池,LED等原件制造了一个MagSpoof。事实上,安装非常简单,他并不想放出预测算法——出于安全考虑。但他认为,尽管他如此慎重,美国运通局仍然需要在其他黑客成功利用这项技术之前努力去解决它,或者加以限制。卡姆卡说:“这并不像是我破解了一些疯狂的伪随机数发生器。这是显然的。我从来没听说有人发现了这一点,但令我吃惊的是竟没有人把它弄明白。”

github:https://github.com/samyk/magspoof

文章原文链接:https://www.anquanke.com/post/id/82997