🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Lỗ hổng trong thẻ Mastercard và Visa cho phép thanh toán không cần mã PIN

29/08/2021

Một nhóm các nhà khoa học từ trường đại học ETH Zurich ở Thụy Sĩ đã phát hiện một lỗ hổng trong giao thức thanh toán không tiếp xúc cho phép bỏ qua mã PIN khi thanh toán bằng thẻ Mastercard và Visa của Maestro.

Thanh toán không tiếp xúc là một tính năng trong thẻ cho phép người dùng không cần quẹt thẻ, chỉ cần chạm thẻ ngay trước thiết bị thanh toán thì giao dịch sẽ được thực hiện.

Kịch bản tấn công

Cuộc tấn công thực hiện theo kịch bản Man-in-the-Middle: kẻ tấn công sẽ can thiệp vào giao dịch giữa thẻ thanh toán và thiết bị đầu cuối Điểm bán hàng (PoS) của nhà cung cấp.

Kẻ tấn công phải có một thẻ bị đánh cắp và hai điện thoại thông minh Android cài một ứng dụng đặc biệt để giả mạo các thông tin của giao dịch

Ứng dụng này hoạt động như trình giả lập: Một điện thoại thông minh đặt gần thẻ sẽ giả lập PoS, lừa thẻ bắt đầu giao dịch và chia sẻ thông tin chi tiết của nó. Cái còn lại hoạt động như một trình giả lập thẻ, dùng để cung cấp các chi tiết giao dịch đã sửa đổi đến một PoS thực sự trong một cửa hàng.

Phát hiện lỗ hổng trong thanh toán Visa từ năm 2020

Nhóm nghiên cứu đã phát hiện ra cách để bỏ qua mã PIN trong thanh toán không tiếp xúc của Visa từ năm 2020

Cuộc tấn công được mô tả trong một bài báo nghiên cứu vào tháng 9 năm 2020 có tiêu đề “The EMV Standard: Break, Fix, Verify”: Các nhà nghiên cứu có thể chặn các chi tiết thanh toán không tiếp xúc của Visa, sau đó sửa đổi chi tiết giao dịch để thông báo cho thiết bị đầu cuối PoS thật rằng mã PIN và danh tính của chủ sở hữu thẻ đã được xác minh và xác nhận trên thiết bị, vì vậy PoS không cần thực hiện các kiểm tra này.

Các nhà nghiên cứu cho biết họ đã thử nghiệm thành công nó với các thẻ Visa Credit, Visa Debit, Visa Electron và V Pay trong thực tế.

Phát hiện lỗ hổng trong thanh toán bằng Mastercard

Sau những phát hiện ban đầu, Nhóm ETH Zurich tiếp tục nghiên cứu và tập trung vào việc bỏ qua mã PIN trên các loại thẻ khác không sử dụng giao thức thanh toán không tiếp xúc Visa.

Trong một bài báo nghiên cứu được xuất bản vào tháng 2 năm nay, nhóm nghiên cứu cho biết họ đã xác định được vấn đề tương tự với thanh toán không tiếp xúc từ thẻ Mastercard.

Các nhà nghiên cứu đã đánh lừa thiết bị PoS nghĩ rằng giao dịch đang thực hiện đến từ thẻ Visa thay vì Mastercard bằng cách sửa đổi mã định danh của thẻ sau đó sử dụng lại cuộc tấn công Visa để bỏ qua mã PIN.

Video demo cho thấy cuộc tấn công có thể thực hiện dễ dàng, nhanh chóng và không thể phân biệt kẻ xấu sử đang dụng kỹ thuật này với một người mua hợp pháp đang thanh toán bằng điện thoại thông minh của họ.

Cả hai lỗ hổng bỏ qua mã PIN trong thẻ Visa và Mastercard đều thuộc thương hiệu Maestro.

Bản vá lỗ hổng cho Mastercard đã được phát hành vào đầu năm nay. Hiện tại vẫn chưa có thông tin bản vá cho Visa.

Nhóm nghiên cứu sẽ không phát hành ứng dụng Android hỗ trợ các cuộc tấn công này nhằm ngăn chặn việc lạm dụng kỹ thuật này và nghiên cứu của họ cho mục đích xấu.

Thông tin bổ sung về cuộc tấn công xem tại đây.

Nguồn: therecord.media.

scrolltop