Trang Chủ Đồng hồ an ninh Thẻ chip và pin an toàn hơn thẻ quẹt, cũng khá khủng khiếp

Thẻ chip và pin an toàn hơn thẻ quẹt, cũng khá khủng khiếp

Video: How to Swipe Like @teejayx6 FREE GAME💪🏽JULY 2020(read desc.) (Tháng mười một 2024)

Video: How to Swipe Like @teejayx6 FREE GAME💪🏽JULY 2020(read desc.) (Tháng mười một 2024)
Anonim

Đối với độc giả Hoa Kỳ của chúng tôi, thanh toán bằng thẻ tín dụng có nghĩa là vuốt một dải từ tính. Nhưng đối với người dân ở hầu hết châu Âu và các quốc gia khác, điều đó có nghĩa là chèn thẻ chip của bạn vào đầu đọc và nhập mã PIN. Cái gọi là giải pháp chip và PIN này từ lâu đã được quảng cáo là vượt trội hơn nhiều so với thao tác vuốt của Mỹ và trong hầu hết các cách. Nhưng có một số vấn đề nghiêm trọng với cách thức chương trình đã được thực hiện.

Ross Anderson đã trình bày lịch sử của nhóm nghiên cứu về chip và thẻ PIN của mình tại Black Hat năm nay. Đối với một hệ thống được thiết kế để khó gian lận hơn, Anderson đã có một số tiền đáng ngạc nhiên để nói.

Một đội kỵ binh

Giới thiệu nhanh về chip và PIN: người tiêu dùng chèn thẻ của họ khi mua hàng. Sau đó, họ nhập mã PIN, được xác nhận bằng thẻ trên thiết bị - khi thiết bị hoạt động, mã PIN sẽ không bao giờ rời khỏi đầu đọc. Thẻ sau đó nói chuyện với ngân hàng để xác thực lại giao dịch và việc bán hàng được thực hiện. Trên giấy, tất cả nghe có vẻ tuyệt vời.

Anderson đã đi qua một số lỗ hổng không đáng có được tìm thấy bởi anh ta và nhóm của anh ta, và những người khác lần đầu tiên được quan sát trong tự nhiên và sau đó được thiết kế ngược bởi các chuyên gia bảo mật.

Nhiều cuộc tấn công tập trung vào các thiết bị mà thương nhân sử dụng để thực hiện giao dịch và ATM. Nhóm của ông đã phát hiện ra rằng một số thiết bị trên thực tế không được thực hiện theo các thông số kỹ thuật bảo mật mà họ tuyên bố tuân theo. Với nỗ lực tối thiểu, anh cho biết họ có thể nghe lén các thiết bị và trích xuất mã PIN trong khi bán hàng.

Các cuộc tấn công khác liên quan đến việc cài đặt cái mà Anderson gọi là "thiết bị điện tử độc ác" lên người đọc để thu thập dữ liệu giao dịch. Trong một trường hợp, những kẻ lừa đảo đã cài đặt các sản phẩm độc ác của họ vào đầu đọc thẻ trước khi chúng thậm chí còn được giao cho các thương nhân.

Nhưng có nhiều cuộc tấn công khác, như nhúng trực tiếp bầu cử vào thẻ chip và PIN, kết nối thẻ với các thiết bị ẩn cho phép kẻ trộm ủy quyền thẻ với bất kỳ mã ngẫu nhiên nào và thậm chí tấn công "phát lại" giao dịch tại các địa điểm khác nhau.

Kỹ thuật vượt trội, thực tế có vấn đề

Tôi hỏi Anderson rằng, sau tất cả các lỗ hổng mà anh ta tìm thấy với chip và pin, anh ta vẫn nghĩ rằng nó vượt trội hơn so với thẻ quẹt. Ông không rõ ràng: thẻ chip và mã PIN vượt trội về mặt kỹ thuật đơn giản vì chúng khó nhân bản hơn nhiều so với thẻ quẹt.

Vấn đề lớn hơn là làm thế nào chip và PIN được tung ra ở châu Âu. Anderson giải thích rằng để khiến các thương nhân châu Âu chuyển đổi, các ngân hàng hứa với các thương nhân rằng họ sẽ chịu trách nhiệm về các khoản phí gian lận. Với thẻ quẹt, một khoản phí gian lận chỉ đơn giản là được hoàn trả cho người bán. Anderson gọi đây là "thay đổi trách nhiệm pháp lý."

Nghe có vẻ là một kế hoạch tốt nhưng thực tế lại khá tàn khốc. Anderson nói rằng nạn nhân của lừa đảo thường xuyên bị các ngân hàng đổ lỗi, họ cáo buộc họ đã tiết lộ mã PIN bằng cách nào đó. Trong các trường hợp khác, các ngân hàng chỉ đơn giản là thay đổi suy nghĩ của họ và đảo ngược các khoản phí cho các thương nhân. Trong các trường hợp cực đoan, các ngân hàng và các công ty thẻ tín dụng đã từ chối buộc tội chống lại những kẻ lừa đảo đã biết, rõ ràng là bối rối.

Không ai, dường như, muốn chịu trách nhiệm về gian lận chip và PIN. Anderson hỏi, "nếu ngân hàng không trả tiền cho sự gian lận, tại sao họ lại phá vỡ ruột để giữ an toàn?"

Anderson cũng chỉ trích các tác giả của tài liệu về chip và PIN vì không có tầm nhìn rõ ràng và để tài liệu vượt khỏi tầm kiểm soát. Ông gọi đó là một bi kịch của chung, và lưu ý rằng không ai đã bước tới để tạo ra một phiên bản cập nhật thực sự có thể thực hiện các thay đổi bảo mật cần thiết cho tiêu chuẩn.

Đến mỹ

Độc giả Hoa Kỳ của chúng tôi, nội dung với thẻ quẹt của họ, có thể tự hỏi tại sao điều này lại quan trọng với họ. Có một lý do đơn giản: thẻ chip và mã PIN đã sẵn sàng để được giới thiệu vào đất nước này. Anderson cho biết các ngân hàng được thiết lập để thực hiện chuyển đổi vào năm 2015.

Mọi thứ có thể không đi quá kém ở đất nước này. Đối với một điều, chỉ có một số ngân hàng đang lựa chọn chương trình chip và mã PIN, trong khi các ngân hàng khác sẽ tung ra thẻ chip và chữ ký. Kế hoạch xác thực này đã được sử dụng ở Singapore và được thiết kế để bảo vệ người tiêu dùng nhiều hơn. Anderson cũng lưu ý rằng vai trò của Cục Dự trữ Liên bang trong ngân hàng Mỹ cũng mang lại sự bảo vệ người tiêu dùng lớn hơn - giả định rằng nó không bị xói mòn mạnh trong tương lai gần.

Ông cũng nói rằng có một vai trò mà khán giả Mũ Đen có thể đóng. "không phải là một giao thức đơn lẻ, đó là một bộ công cụ lớn, ngẫu nhiên, xảo quyệt để xây dựng các giao thức thanh toán", ông nói. "Bạn có thể nghĩ ra thứ gì đó thực sự an toàn, hoặc thứ gì đó thực sự đẫm máu khủng khiếp."

Đây là hy vọng chúng ta có được trước đây.

Thẻ chip và pin an toàn hơn thẻ quẹt, cũng khá khủng khiếp