資安公司Positive揭露Visa感應式支付存在漏洞,可讓駭客進行中間人攻擊繞過支付限制,Positive已經成功在5家英國主要的銀行,實現這個感應式支付攻擊,無論使用的卡片終端裝置為何,都可以繞過感應式支付的30英鎊限制,而且研究人員發現,這種攻擊方式可能可以在英國之外的地方進行。

感應式支付攻擊的手段,主要是操作卡片與終端機器,在感應支付時交換的兩個資料欄位。在英國,當支付需要額外的持卡人驗證,像是支付超過30英鎊的情況,卡片會回應拒絕交易,以防止超過限額付款,另外,終端裝置上則有國家地區專門的設定,像是要求卡片或是行動錢包,對持卡人進行額外的驗證,例如在手機上輸入密碼或是指紋辨識。

而Positive成功使用裝置,攔截感應式卡片與機器之間的通訊,以繞過這兩種支付檢查,研究人員提到,這種裝置能夠扮演代理人的角色,用於中間人(MITM)攻擊。在支付階段,中間人裝置會告訴卡片即便超過30英鎊的限制也不需要驗證,同時中間人裝置還會欺騙終端裝置,假裝已經進行過其他支付驗證。

研究人員提到,之所以這種攻擊有機可乘,是因為Visa沒有要求發卡機構和收單機構,在沒有提供最低限度的檢查時阻擋交易。而且這種攻擊手法也可以用在GPay等行動錢包,當使用者在這些服務中綁定Visa卡片,可以在不解鎖手機的情況下,未經使用者同意收取最高30英鎊的金額。

要防範這種攻擊,研究人員建議用戶應該定期查看自己銀行帳戶報表,以提早發現相關的不正常款項,以及使用銀行額外的安全措施,像是支付驗證或是SMS通知。另外也提到,感應式卡片的詐欺事件正不斷增加,而Positive可以輕易地繞過這些驗證機制,則代表可能有更多的使用者遭遇損失,研究人員認為,發卡機構不應該依賴Visa提供安全的支付協定,要有自己的措施,阻止這類的攻擊。

【8月8日更新資訊】對於這樣的支付安全問題,我們6日也詢問了Visa,此繞過驗證的手法是否會為臺灣民眾帶來影響,該公司臺灣區總經理麻少華在8日進一步說明: 「因臺灣感應交易不需要輸入密碼,此中間人詐欺手法並不適用於台灣的感應支付環境。」同時,他也提及臺灣的金融環境能即時控管掛失卡片,相關的交易也都有即時的驗證與通訊協定,因此,此類的詐欺手法並不易擴大。對於實體商店的詐欺問題,麻少華也強調,他們與發卡銀行都具備多層安全防護進行詐欺控管,要民眾放心,而他們對實體商店詐欺比率穩定維持在歷史新低點。文⊙羅正漢


Advertisement

更多 iThome相關內容