WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Lỗi vượt qua xác thực mã PIN mới ảnh hưởng tới các thanh toán Visa
Ngay khi Visa đưa ra cảnh báo về một công cụ web skimmer JavaScript mới có tên Baka, các nhà nghiên cứu an ninh mạng đã phát hiện ra một lỗ hổng mới trong thẻ hỗ trợ EMV của hãng này cho phép tội phạm mạng lấy tiền và lừa đảo chủ thẻ cũng như bán thông tin bất hợp pháp.
Nghiên cứu được công bố bởi một nhóm nghiên cứu từ Đại học ETH Zurich, trong đó mô tả về một hình thức tấn công vượt qua xác thực mã PIN cho phép hacker lợi dụng thẻ tín dụng bị đánh cắp hoặc bị mất của nạn nhân để thực hiện các giao dịch có giá trị cao mà không cần biết về mã PIN của thẻ và thậm chí lừa máy PoS chấp nhận giao dịch thẻ mà không xác thực.
Tất cả các thẻ sử dụng giao thức Visa, bao gồm thẻ Visa Credit, Visa Debit, Visa Electron và V Pay, đều bị ảnh hưởng bởi lỗ hổng này. Ngoài ra, các giao thức EMV được triển khai bởi Discover và UnionPay cũng có thể là nạn nhân. Tuy nhiên, lỗ hổng không ảnh hưởng đến Mastercard, American Express và JCB.
Để khai thác, các nhà nghiên cứu sẽ lợi dụng một lỗ hổng nghiêm trọng trong giao thức để tấn công MitM thông qua một ứng dụng Android có khả năng “khiến thiết bị đầu cuối tin rằng không cần phải xác thực PIN bởi việc xác thực chủ thẻ đã được thực hiện trên thiết bị của người dùng".
Vấn đề bắt nguồn từ thực tế là phương pháp xác minh Chủ thẻ (CVM – Cardholder verification method) không được bảo vệ trước các thay đổi.
Kết quả là, hacker có thể sửa đổi thông tin CTQ (Card Transaction Qualifiers) vốn được sử dụng để xác định hình thức kiểm tra CVM cần có cho giao dịch. Khi đó, máy PoS sẽ nhận được thông báo để bỏ qua bước xác minh mã PIN và việc xác minh đã được thực hiện bằng thiết bị của chủ thẻ
Khai thác các giao dịch ngoại tuyến mà không bị tính phí
Hơn nữa, các nhà nghiên cứu đã phát hiện ra lỗ hổng thứ hai, liên quan đến các giao dịch ngoại tuyến được thực hiện bởi thẻ Visa hoặc thẻ Mastercard cũ. Lỗ hổng có thể, cho phép kẻ tấn công thay đổi dữ liệu "Application Cryptogram" (AC) trước khi nó được chuyển đến thiết bị đầu cuối.
Thẻ ngoại tuyến thường được sử dụng để thanh toán trực tiếp cho hàng hóa và dịch vụ từ tài khoản ngân hàng của chủ thẻ mà không yêu cầu số PIN. Nhưng vì các giao dịch này không được kết nối với hệ thống trực tuyến, nên có sự chậm trễ từ 24 đến 72 giờ trước khi ngân hàng xác nhận tính hợp pháp của giao dịch bằng cách sử dụng mật mã và số tiền mua hàng được ghi nợ từ tài khoản.
Tội phạm có thể tận dụng cơ chế xử lý chậm trễ này để sử dụng thẻ hoàn thành một giao dịch ngoại tuyến và có giá trị thấp mà không bị tính phí.
Giảm thiểu nguy cơ vượt qua xác thực mã PIN và cuộc tấn công ngoại tuyến
Ngoài việc thông báo cho Visa về các lỗ hổng, các nhà nghiên cứu cũng đã đề xuất ba bản sửa lỗi phần mềm cho giao thức để ngăn chặn việc vượt qua xác thực mã PIN và tấn công ngoại tuyến, bao gồm sử dụng Xác thực dữ liệu động (DDA – Dynamic Data Authentication) để bảo mật các giao dịch trực tuyến có giá trị cao và yêu cầu sử dụng mật mã trực tuyến trong tất cả các thiết bị đầu cuối PoS, khiến các giao dịch ngoại tuyến được xử lý trực tuyến.
Nghiên cứu được công bố bởi một nhóm nghiên cứu từ Đại học ETH Zurich, trong đó mô tả về một hình thức tấn công vượt qua xác thực mã PIN cho phép hacker lợi dụng thẻ tín dụng bị đánh cắp hoặc bị mất của nạn nhân để thực hiện các giao dịch có giá trị cao mà không cần biết về mã PIN của thẻ và thậm chí lừa máy PoS chấp nhận giao dịch thẻ mà không xác thực.
Để khai thác, các nhà nghiên cứu sẽ lợi dụng một lỗ hổng nghiêm trọng trong giao thức để tấn công MitM thông qua một ứng dụng Android có khả năng “khiến thiết bị đầu cuối tin rằng không cần phải xác thực PIN bởi việc xác thực chủ thẻ đã được thực hiện trên thiết bị của người dùng".
Vấn đề bắt nguồn từ thực tế là phương pháp xác minh Chủ thẻ (CVM – Cardholder verification method) không được bảo vệ trước các thay đổi.
Kết quả là, hacker có thể sửa đổi thông tin CTQ (Card Transaction Qualifiers) vốn được sử dụng để xác định hình thức kiểm tra CVM cần có cho giao dịch. Khi đó, máy PoS sẽ nhận được thông báo để bỏ qua bước xác minh mã PIN và việc xác minh đã được thực hiện bằng thiết bị của chủ thẻ
Khai thác các giao dịch ngoại tuyến mà không bị tính phí
Hơn nữa, các nhà nghiên cứu đã phát hiện ra lỗ hổng thứ hai, liên quan đến các giao dịch ngoại tuyến được thực hiện bởi thẻ Visa hoặc thẻ Mastercard cũ. Lỗ hổng có thể, cho phép kẻ tấn công thay đổi dữ liệu "Application Cryptogram" (AC) trước khi nó được chuyển đến thiết bị đầu cuối.
Thẻ ngoại tuyến thường được sử dụng để thanh toán trực tiếp cho hàng hóa và dịch vụ từ tài khoản ngân hàng của chủ thẻ mà không yêu cầu số PIN. Nhưng vì các giao dịch này không được kết nối với hệ thống trực tuyến, nên có sự chậm trễ từ 24 đến 72 giờ trước khi ngân hàng xác nhận tính hợp pháp của giao dịch bằng cách sử dụng mật mã và số tiền mua hàng được ghi nợ từ tài khoản.
Tội phạm có thể tận dụng cơ chế xử lý chậm trễ này để sử dụng thẻ hoàn thành một giao dịch ngoại tuyến và có giá trị thấp mà không bị tính phí.
Giảm thiểu nguy cơ vượt qua xác thực mã PIN và cuộc tấn công ngoại tuyến
Ngoài việc thông báo cho Visa về các lỗ hổng, các nhà nghiên cứu cũng đã đề xuất ba bản sửa lỗi phần mềm cho giao thức để ngăn chặn việc vượt qua xác thực mã PIN và tấn công ngoại tuyến, bao gồm sử dụng Xác thực dữ liệu động (DDA – Dynamic Data Authentication) để bảo mật các giao dịch trực tuyến có giá trị cao và yêu cầu sử dụng mật mã trực tuyến trong tất cả các thiết bị đầu cuối PoS, khiến các giao dịch ngoại tuyến được xử lý trực tuyến.
Theo: The Hacker News