行业新闻与博客

根据 Positive Technologies 的最新研究，新的漏洞使黑客能够绕过 Visa 非接触式卡的支付限制而不管卡终端。

在 7 月 29 日的新闻发布会上，Positive Technologies 表示，研究人员曾多次与英国五大银行以及英国境外的卡和终端一起测试这些漏洞。他们发现，限制可以在 100％ 的时间内被绕过，并且可能允许攻击者从帐户中窃取。

“攻击通过操纵在非接触式支付期间在卡和终端之间交换的两个数据字段来工作。主要在英国，如果支付需要额外的持卡人验证（英国支付超过 30 英镑所需），卡将回答“我不能这样做”，这可以防止超过此限额付款。其次，终端使用国家特定的设置，要求卡或移动钱包提供持卡人的额外验证，例如通过在电话上输入卡 PIN 或指纹认证，“新闻稿说。 

通过使用充当代理的设备拦截支票来拦截支付终端和卡之间的通信，这种攻击被称为中间人（MITM）。这些 MITM 攻击也可以使用移动钱包完成，允许欺诈者在不解锁手机的情况下收取高达 30 英镑的费用。 

“该设备告诉卡片，即使金额超过 30 英镑，也无需进行验证。然后，设备告诉终端已经通过其他方式进行了验证。这种攻击是可能的，因为 Visa 并不要求发行人和收购方在没有提供最低限度验证的情况下进行阻止付款的检查，“根据发布的说法。

“支付行业认为，非接触式支付受到他们实施的保护措施的保护，但事实是非接触式欺诈正在增加，”Positive Technologies 银行业务负责人 Tim Yunusov 表示。“虽然这是一种相对较新的欺诈行为，目前可能不是银行的首要优先事项，如果可以轻易绕过非接触式验证限制，这意味着我们可以看到银行及其客户遭受更多破坏性损失。”