2008-03-01

研究者揭露英國晶片卡詐騙新風險

Researchers Expose New Credit Card Fraud Risk
http://it.slashdot.org/article.pl?sid=08/02/28/2018228

Slahdot 2008.02.28

來自於劍橋大學的研究者發現全世界數百萬客戶所使用之卡片付款系統(譯註:由 Chip & PIN cards,即晶片金融卡、晶片信用卡等智慧卡,與 PIN Entry Device,PED,可輸入 PIN 碼的鍵盤型晶片讀卡機所構成)當中的瑕疵。Ross Anderson、Saar Drimer 與 Steven Murdoch 示範,如何只透過一根迴紋針,就能夠從這些所謂的「防篡改(tamper-proof)」設備「竊聽」帳戶號碼與 PIN。(http://www.cl.cam.ac.uk/research/security/banking/ped/

在他們的論文中(http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-711.pdf),他們警告如何只透過一點點科技上的技巧與現成的電子裝置,詐騙者就能夠淘空客戶的帳戶。英國 BBC Newsnight 在電視特輯中示範這種攻擊:http://video.google.com/videoplay?docid=-2532888875266883498

※ 這是因業者選擇在交易期間不為卡片與 PED 之間的資料交換加密。在竊取資料後可用來偽造有磁條但沒晶片的假卡,到那些仍接受磁條的地點刷卡消費。這是英國銀行業者與這些 PED 裝置設計者的問題。

* 晶片卡功能多 台灣卡量冠全球
http://www.libertytimes.com.tw/2008/new/jan/23/today-e11.htm

* 智慧卡/晶片卡技術發展
http://tech.digitimes.com.tw/ShowNews.aspx?zCatId=A1W

『隱私國際』公佈 2007 年報告
從刷卡安全有漏洞 到肺結核個資外洩
「流氓」DNS 的數量持續攀升
攻擊磁碟加密必殺技:「冷」開機

1 則留言:

fsj 提到...

到美超商ATM領錢 當心駭客

【經濟日報╱編譯莊雅婷/美聯社聖荷西二日電】 2008.07.03

根據最新披露的美國聯邦法院文件,駭客入侵了花旗銀行設在7-Eleven超商的自動提款機(ATM)網路,竊取客戶的個人識別號碼(PIN),再度凸顯金融交易出現嚴重的安全漏洞。

這起客戶資料遭駭客盜竊事件發生在去年10月至今年3月間。花旗在全美7-Eleven設有約5,700台自動提款機,這些機器屬於休士頓的Cardtronics公司,由Fiserv公司負責維護。目前不清楚有多少花旗客戶受到影響,但該銀行事後已主動通知部分客戶更換提款卡。

美國紐約南區地方法院今年3月以共謀詐欺起訴三名被告,檢察官說,他們藉此至少不法獲利200萬美元。但對消費者而言,更嚴重的是犯罪分子竟能透過攻擊提款機的後端電腦系統,取得在金融交易過程理應受到嚴密保護的PIN碼。

該案也凸顯一個重大問題,即駭客把攻擊目標轉向自動提款機的系統架構。這些架構日漸採用微軟的視窗作業系統,可讓機器在網路上進行遠端診斷和維修。

儘管產業標準要求對PIN碼進行強大的加密保護以防資料外洩,但部分操作人員沒有按照規定行事。這些PIN碼可能是在自動提款機與後端電腦傳輸資料的過程中外洩。

顧能公司(Gartner)分析師李坦(Avivah Litan)說:「PIN碼的防護應該固若金湯才對,但本案顯示PIN碼的加密防護措施不足。銀行需要更完善的詐欺偵測系統與驗證手續。」

本案的偵查重點之一,是駭客如何滲透網路系統。目前已知他們是透過第三方資料處理業者的伺服器入侵ATM網絡。他們也可能利用網路安全漏洞或破解電腦密碼,而取得機器的管理員權限,甚至在銀行的伺服器植入惡意軟體,在用戶輸入PIN碼時截取資料。

如此一來,客戶的PIN碼常可在不被竄改的情況下,神不知鬼不覺遭竊取。以往不法分子偷竊密碼的方法較容易引起注意,例如發送釣魚信件,或在提款機上裝設偽造的按鍵與照相機。