NCR Corp研究人员展示了针对PoS终端和PIN输入设备的被动中间人攻击是如何绕过信用卡芯片和密码保护、而导致信用卡数据可在其他地方被使用以及修改的。
这种类型的攻击的工作原理是什么,我们可以做什么来防止PIN输入设备暴露信用卡数据?
Nick Lewis:支付技术公司NCR Corp安全研究人员Nir Valtman和Patrick Watson在2016年美国黑帽大会展示了他们在支付环境(例如PIN输入设备)发现的漏洞。他们的研究表明,具有传统功能的传统系统和现代系统并不安全,攻击者可通过监控网络连接来寻找未加密的信用卡数据。
虽然他们提供的是新内容,但这个漏洞利用其实是一个众所周知的问题的变种。作为中间人的攻击者可捕捉信用卡数据或者在交易流量做出更改使其看起来像是在离线进行。
研究人员对这些漏洞的建议包括:使用强加密、使用签名固件以及加密PIN输入设备离线交易数据。尽管这些都是非常好的建议,但传统系统不可能利用它们。最好的做法是企业升级自己的技术来使用点对点加密,而考虑到成本,有些企业可能会选择承担安全泄露事故的风险。
然而,这种风险非常大,企业应该采取一些步骤来最小化风险,例如不要存储支付卡卡号、在交易结束后清除在离线操作时存储的主账号,以及在数据存储后部署令牌技术。
同时,支付卡行业(PCI)标准委员会提供了最佳做法来防止这些风险,企业可部署这些做法来保护其PoS终端。企业还应该注意在支付期间以及在安全意识培训计划中使用PIN输入设备时的不寻常提示。
本文转自d1net(转载)
