据荷兰支付卡实施的新安全功能不会阻止诈骗者未来可能使用的一种攻击,以从银行账户窃取资金,据剑桥大学的研究人员在英国
剑桥电脑集团的Steven J. Murdoch和Saar Drimer周三在荷兰电视节目“Goudzoekers”上演示,具有新安全功能的支付卡仍然容易受到所谓的中继攻击。
中继攻击是欺诈者使用无线技术获取欧洲使用的芯片和PIN支付卡的银行卡详细信息和PIN(个人识别码)的一种方式。 Chip-and-PIN卡片需要一个人在销售点设备或自动取款机上输入一个四位数的PIN,并通过嵌入卡片中的微芯片对PIN进行验证。
[更多阅读:如何清除恶意软件从您的Windows PC]在中继攻击中,受害者的卡信息通过篡改的支付终端记录。密码号码被欺诈者观察到,然后传达给在其他地方执行同时交易的同谋。共犯有一张假的支持无线的支付卡,它利用从被篡改的支付终端接收到的受害者的银行信息进行欺诈交易。
2007年,Drimer和默多克证明了接力攻击,但不相信是Murdoch表示,英国和荷兰的银行都计划升级具有新安全功能的支付卡,以阻止不同类型的攻击。默多克和Drimer测试了一家荷兰银行发行的一张卡,该卡有三项新功能
一种是动态数据验证功能,可以在不需要连接银行系统的情况下将卡验证为正版。这样可以防止所谓的“是”攻击,其中任何PIN将被接受用于交易。另一项功能可确保在支付终端与卡之间的通信期间加密客户的PIN,防止截取明文PIN。
最后一项新功能称为iCVV。芯片和PIN卡先前包含磁条信息的副本,其中包含卡片微芯片中的帐户详细信息。默多克说,使用iCVV,芯片中不再存储完整的磁条信息,这三种功能都没有阻止继电器的攻击,正如展会上所示,默多克说。但是,他们都没有专门设计来阻止继电器攻击,他说。默多克说,“Goudzoekers”的制作人想看看新卡是否仍然容易受到中继攻击。默多克说,这个节目只支付他和Drimer去荷兰的航班做实验,默多克对芯片和PIN卡的安全性进行了广泛的研究,他说他和Drimer不认为新功能可以防止中继攻击。然而,他们接受了该节目的佣金,以获得“在其他国家的系统中获得更多经验”,荷兰银行业协会驳斥了最新的实验,在一份声明中称,接力攻击已近三年,过于繁琐而复杂,难以大规模实施。“
默多克承认,接力攻击难以实现。但由于其他更简单的攻击途径因卡片中更强大的安全功能而被关闭,因此犯罪分子可能会“开始考虑这一点”,他说。“
银行协会认为,”犯罪分子太愚蠢而懒惰,“默多克说。 “罪犯是懒惰的,但他们并不愚蠢。”