Theo một nhóm nghiên cứu được thực hiện tại Đại học ETH Zurich, tấn công vượt qua xác thực mã PIN cho phép hacker lợi dụng thẻ tín dụng bị đánh cắp hoặc bị mất của nạn nhân để thực hiện các giao dịch có giá trị cao mà không cần biết về mã PIN của thẻ và thậm chí lừa máy PoS chấp nhận giao dịch thẻ mà không xác thực.
Lỗ hổng này ảnh hưởng đến tất cả các thẻ sử dụng giao thức Visa, bao gồm thẻ Visa Credit, Visa Debit, Visa Electron và V Pay. Các giao thức EMV do Discover và UnionPay phát triển cũng có thể bị tấn công. Tuy nhiên, lỗ hổng này không ảnh hưởng đến Mastercard, American Express hoặc JCB.
Các nhà khoa học sẽ khai thác một lỗ hổng nghiêm trọng trong giao thức để tấn công MitM thông qua một ứng dụng Android có khả năng khiến thiết bị đầu cuối nghĩ rằng PIN không cần thiết bởi vì chủ thẻ đã được xác thực trên thiết bị của người dùng.
Thực tế là phương pháp xác minh Chủ thẻ (Cardholder verification method - CVM) không được bảo vệ trước các thay đổi là nguồn gốc của sự cố. Thông tin Card Transaction Qualifiers, được sử dụng để thiết lập phương pháp kiểm tra CVM cần thiết cho giao dịch, có thể bị lộ ra ngoài do lỗi. Sau đó, máy PoS sẽ được thông báo rằng việc xác minh đã được thực hiện bằng thiết bị của chủ thẻ và rằng bước xác minh mã PIN đã được bỏ qua.
Các nhà khoa học cũng tìm thấy lỗ hổng thứ hai liên quan đến các giao dịch ngoại tuyến được thực hiện bằng thẻ Visa hoặc thẻ Mastercard cũ. Lỗ hổng có thể cho phép kẻ tấn công thay đổi dữ liệu "Application Cryptogram" (AC) trước khi nó được chuyển đến thiết bị đầu cuối.
Không cần số PIN, thẻ ngoại tuyến thường được sử dụng để thanh toán trực tiếp cho hàng hóa và dịch vụ từ tài khoản ngân hàng của chủ thẻ. Tuy nhiên, do các giao dịch này không được kết nối với hệ thống trực tuyến nên có sự chậm trễ từ 24 đến 72 giờ trước khi ngân hàng xác nhận tính hợp pháp của giao dịch bằng cách sử dụng mật mã và số tiền mua hàng được ghi nợ từ tài khoản. Bằng cách sử dụng cơ chế xử lý chậm trễ này, tội phạm có thể sử dụng thẻ để hoàn thành các giao dịch ngoại tuyến ít tốn kém và không bị tính phí.
Các nhà khoa học đã đưa ra ba bản sửa lỗi phần mềm cho giao thức để ngăn chặn sự vượt qua xác thực mã PIN và tấn công ngoại tuyến, bao gồm sử dụng Xác thực dữ liệu động (Dynamic Data Authentication - DDA) để bảo mật các giao dịch trực tuyến có giá trị cao và yêu cầu sử dụng mật mã trực tuyến trong tất cả các thiết bị đầu cuối PoS để xử lý các giao dịch ngoại tuyến.
An toàn Thông tin
Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống
Tham gia bình luận