2015 年是美国银行及零售商用芯片卡替换磁条的截止日期,但英国纽卡斯尔大学的研究人员声称,所谓的更安全的芯片卡,其系统存在严重漏洞。
VISA 开发的在英国使用的芯片银行卡系统,不能识别外币交易,并因此会被利用进行非法转账,最多可达 99.99999 万的货币单位。
而且,由于芯片卡不像传统的磁条卡需要接触读卡器才能完成交易,因此黑客可以携带读卡器走近受害者,即可完成非法转账行为。同时,这种卡与卡之间的转账是线下的,不通过零售商的 POS 机,也没有另外的安全检测手段。
发现该漏洞的研究人员表示,甚至只需要一部手机就能建立一部 POS 终端,从身边人的钱包里读取芯片卡上的信息。所有的交易检测都在卡片上,而不是在终端机上。只需预先设置好转账额,然后用手机靠近受害者的钱包,即可完成交易。在实际测试时,用时不到一秒钟。
芯片密码卡(Chip and PIN)也称为 EMV 卡,正在全美推行使用。推行 EMV 的初衷是为了减少类似塔吉特等银行卡信息泄露事件的发生,防止攻击者用记录卡号和 PIN 码的手段复制银行卡,进行欺诈购物。
EMV 卡上的微芯片起着对卡片的合法性进行认证的作用,即使黑客盗走了卡片上的数据,他也无法生成完成交易的认证码。目前 EMV 卡已经在欧洲和加拿大广泛的实施。VISA 为了在美国推进读卡器的安装,已经宣布截止时间为 2015 年 10 月 1 日。到时,任何企业如果没有安装 EMV 读卡器的话,将承担银行卡数据被盗后发生欺诈交易的责任。
英国的 EMV 系统限制了卡片在不接触读卡器的情况下转账额度为 20 英镑,超出这个额度需要输入 PIN 码,或其他验证方法。但研究人员发现,该系统未能识别非英镑的外币交易,因此无需输入 PIN 码或其他验证。
研究人员准备在近期亚里桑那州举行的计算机与通信安全会议上提交他们的发现。