取消
普通评论
普通评论

针对近期某款POS机攻击案例分析及建议

金融科技大讲堂微信公众号2017-11-03 09:10
POS 攻击 信息安全 收藏

  近期某安全大赛两名选手仅用了21分钟,就攻破了一款通用POS机,成功窃取到刷卡人的银行卡账号和密码,并复制伪卡进行消费。

  1. 攻击道具

  攻击者使用的道具很简单,两台笔记本,两台POS机,一台用来攻击,一台用来验证;两张卡片,一张能正常消费的黑卡磁条卡,另一张用来复制的废卡。

  2. 攻击过程

  现场过程也很简单:持卡人先写出黑卡的账号和密码,不让别人看到,用来核对最后攻击者破解的结果。然后攻击者伪装成消费者,在输密码过程中对POS机动动手脚,假装完成消费。而后面的消费者在在动了手脚的POS上刷黑卡时,攻击者就窃取到了这张黑卡的相关信息。

  3. 攻击方式及结果

  经分析攻击者可能是利用了POS机设备里面的漏洞,并替换了设备里面关键应用软件成功地破解了银行卡账号和密码,并复制伪卡成功消费!

  以上案例不失为一场精彩的演示,为此,结合案例分析其可能的原因并给出建议。

  1.POS机安全权限问题

  从攻击过程分析,攻击者使用蓝牙下载攻击程序并成功安装,替换了POS机中关键应用程序,同时,攻击者很可能获取了POS机系统root权限。智能终端类似一台Android手机,根据行业终端安全要求,终端设备的操作系统仅需包含必须的组件和服务,操作系统必须被安全的配置并以最小权限运行。据此要求,操作员或者攻击者应得不到下载程序和安全应用程序的权限。据此分析该案例POS机可能存在两种情况:一是POS机中没有进行最小安全配置;二是攻击者利用了某种漏洞获取了POS机的root权限,打开了USB数据传输的设置并安装了攻击程序。针对第二种情况,行业规范中同样要求:设备应对每个协议和接口都进行漏洞扫描和评估,确保没有漏洞或者存在的漏洞已经被解除。

  2. POS机应用程序安装认证问题

  分析该案例中攻击者可能通过替换POS机设备关键应用程序,从而窃取持卡人的银行卡账号和密码敏感信息。根据行业终端安全要求,POS机应用程序下载到POS机之前必须经过POS机设备固件的认证,设备不能随便安装未经验证的应用程序。而实际攻击过程中成功地安装了一个攻击程序,说明该POS机可能缺失对安装新应用的认证功能,或者此认证功能保护强度不够,很容易被屏蔽,从而失去作用。

  3. 应用程序获取明文密码

  攻击过程中,攻击者窃取了银行卡磁道数据和密码,说明在磁道数据在传输或者处理过程中被明文获取,密码在输入时没有被立即加密,或者明文数据存储安全模块保护级别不够,被应用程序读取,从而导致攻击者成功获取了明文磁道数据和密码,复制了卡片,且在另一台POS机中完成交易。按照行业终端安全要求,交易密码从键盘输入后应立即加密,且不能明文直接传输。同时,要求明文数据从输入到加密成密文的过程中应受到相关保护机制的保护,并且所有应用程序是无法接触到明文的。

  在本次攻击中,攻击者是用了一到两分钟对POS机进行了操作,用攻击程序替换了关键应用程序,但在实际刷卡时,柜台操作员只允许对POS机输入密码,虽输密码时操作员理应回避,但是顶多几十秒就可完成,若时间过长肯定会引起操作员的怀疑,所以在这么短时间内完成一个攻击程序的安装是不现实的,除非伙同操作员一起作案,但若伙同操作员作案属于管理问题,与技术上无关。所以在实际消费过程中该攻击很难成功。即便如此,仍需引起我们大家的重视,建议如下:

  1. 对广大持卡人建议

  该案例中使用的银行卡是磁条卡,与之前所有银行卡盗刷案件类似。相对IC卡来说,磁条卡本身防护程度较低,磁道数据较易泄露并被复制成伪卡。国家近几年在大力推行银行IC卡,因为IC卡较磁条卡更难被复制,即使芯片卡中的数据泄露,也很难直接用于制造伪卡。为了减少防不胜防的诈骗行为,建议大家把手中的银行磁条卡换成银行IC卡。

  2. 对收单机构和商户的建议

  随着中国支付产业发展、支付服务方越来越多、POS机具不断布放,商户申请使用POS机越来越容易,但随之而来的POS机被移机、篡改、攻击的风险也越来越高。在本次攻击中,攻击者仅是用了一到两分钟即对POS机进行了攻击,达到目的。中国人民银行和银联对POS机具使用有明确的安全管理要求,收单机构和商户应严格遵循POS机使用安全规定,不得非法改造和攻击POS机具,同时应对采购使用的机具进行安全审查和维护。

  3. 对终端厂商的建议

  POS机终端厂商应对出售的POS机进行及时的升级管理和安全维护,并按照行业标准及时对存在漏洞的机具进行升级维修,严格按照行业认证管理要求进行生产和销售,确保广大用户的用卡安全。

  作者:老吴 马歆裕

责任编辑:韩希宇

点击加载

点击加载

发送
普通评论
发送
普通评论
普通评论

为你推荐

暂无相关推荐