芯片和PIN技术已成为美国面对面信用卡和借记卡交易的必要标准,但由于部分商家未能完全遵守规定,致使仍有数百万卡的信息被泄露。
芯片卡含有可加密卡数据的嵌入式微处理器,理论上是比磁条卡更安全的方案。他们还实施EMV标准(EMV标准是由国际三大银行卡组织--Europay(欧陆卡,已被万事达收购)、MasterCard(万事达卡)和Visa(维萨)共同发起制定的银行卡从磁条卡向智能IC卡转移的技术标准,是基于IC卡的金融支付标准,已成为公认的全球统一标准)。美国四大信用卡发行商Visa、万事达(MasterCard)、美国运通(American Express)和Discover在2015年决定,如果(商家)没有EMV支付系统,信用卡出现被欺诈风险时,责任默认归属于商家,所以大多数商户选择了这种支付系统,但加油站由于其他相关因素则需延后至2020年才能完全实现这一转变。
在成千上万美国人发现支付卡信息被泄露要求实现芯片卡支付后,大型企业家得宝(美国家庭装饰品与建材零售商)和塔吉特百货公司也开始支持芯片卡支付。然而,双子座咨询公司(Gemini Advisory)从各种暗网收集的观测数据表明,事实出现了事与愿违的一幕:在过去12个月里,有6000万张美国卡被盗。其中93%是EMV芯片卡。
此外,更重要的是,75%的被盗卡信息是从当面交易中被盗的记录。它们很可能是因为实体交易的支付系统或者POS机遭到了恶意软件等方式的破坏攻击。例如,此前Chili 's和Cheddar 's Scratch Kitchen都曾因支付卡数据遭黑客攻击。
进一步的调查结果则显示,美国的EMV支付卡被盗总数超过了其他国家,创造了3730万的记录。过去12个月中,月有1590万张非美国支付卡信息在暗网出售,其中430万卡有EMV功能,这意味着美国的EMV卡数据失窃率比世界其他地区的总和高出868%。
研究者对此给出的说法是因为美国商人缺乏合规意识,大多数商人忽略了EMV的安全特性,仍坚持使用POS终端的磁条功能。在某些情况下,由于新设备的成本高,零售商甚至反对向更新的EMV技术迁移。为了全面升级POS终端的硬件和软件,价格标签可能会高达数千美元,这对于中小型企业来说往往是一个昂贵的负担,不愿意负担的企业难免需要承担欺诈风险。比如FIN7团伙这样具有财务动机的威胁组织倾向于破坏商家网络,找到通往POS终端的途径并部署POS恶意软件。一旦恶意软件识别出卡的跟踪数据,它就会被复制,编码,然后最终被泄露到命令和控制服务器(C2)。
双子座咨询公司还表示,卡片存在的数据“也是通过更加手动的方法收集的撇渣器组,他们利用定制的硬件称为”闪光灯“来记录和泄露来自ATM和POS系统的数据。闪光灯位于卡上的芯片和ATM或销售点设备中的芯片阅读器之间,在底层机器读取时记录芯片上的数据。
如果没有完全部署EMV功能,则可以由欺诈者将从芯片交易中窃取的轨道1和轨道2数据容易地编码到任何磁条上。研究人员还发现,由于大多数美国大型商户已经完全转型为EMV,加油站终端和中小型企业会成为网络犯罪的主要目标。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。