Bypass บัตรเครดิตซื้อของโดยที่ไม่ต้องใช้ PIN?!

สาธิตการโจมตีนี้ด้วยการใช้ Android phones, Contactless credit card

ทีมงานวิจัยจาก Swiss Federal Institute of Technology in Zurich (ETH Zurich)  ได้ค้นพบช่องโหว่ใน Visa EMV contactless protocol ที่ทำให้ผู้โจมตีสามารถที่จะ bypass PIN และทำการฉ้อโกงบัตรเครดิต 

โดยทั่วไปแล้วจะมีการจำกัดจำนวนเงินที่สามารถชำระสินค้าด้วยบัตรแบบ Contactless Card หากว่าเกินจำนวนเงินที่มีการจำกัด จะต้องมีการยืนยันตัวตัวผ่านผู้ถือครองบัตรโดยการพิมพ์รหัส PIN แต่นักวิจัยได้แสดงให้เห็นว่าเมื่อบัตรเครดิตตกไปอยู่ในมือของอาญชากรรมมันสามารถที่จะเอาไปใช้จ่ายซื้อของได้โดยที่ไม่ต้องใส่ PIN 

นักวิจัยออกมาสาธิตการโจมตีนี้ด้วยการใช้ Android phones, Contactless credit card, และได้มีการ Proof-of-concept Android Application เพื่อจุดประสงค์นี้โดยเฉพาะ ซึ่งอุปกรณ์ของผู้โจมตีมีมือถือใกล้ๆ payment terminal(Card emulator device) และมือถือที่อยู่ใกล้ๆเครื่องเหยื่อซึ่งสื่อสารผ่าน Wifi พร้อมกับตัว terminal และ card NFC 

การโจมตีประกอบไปด้วยการปรับ card-sourced data object (คุณสมบัติของการทำธุรกรรมผ่านบัตร) ก่อนที่จะมีการส่งไปถึงยัง terminal ด้วยการปรับแต่งคำสั่งของ terminal ที่ทำให้ไม่จำเป็นต้องใช้ PIN ในการยืนยันตัวตน และนักวิจัยได้ทดสอบ Pin bypass attack จาก 1 ใน 6 EMV contactless protocols (Mastercard, Visa, American Express, JCB, Discover, UnionPay) ตามทฤษฏีแล้วมันก็สามารถที่จะใช้ได้เหมือนกันกับ UnionPay protocols ถึงแม้ว่าจะยังไม่ได้มีการทดสอบก็ตาม 

internation protocol standard สำหรับ smartcard paymeny มีการใช้มากกว่า 9 พันล้านรอบโลกและตั้งแต่เดือนธันวาคม 2019 มีการทำธุรกรรมผ่านบัตรมากกว่า 80%ทั่วโลก อย่างไรก็ตาม ข้อมูลไม่สามารถตรวจสอบได้กับ terminal แต่ด้วยปัญหาที่เกิดจากผู้ออกบัตรเอง เช่น ธนาคาร 

นักวิจัยแนะนำให้ผู้ที่ใช้ Contactless card คอยตรวจสอบ statement เพื่อที่จะได้หาผู้ฉ้อโกงได้ทัน หรือเพิ่มมาตราป้องกันความปลอดภัย เช่น การยืนยันตัวตนอีกขั้นหนึ่งผ่าน SMS 

อ้างอิง: https://www.welivesecurity.com/2020/08/31/security-flaw-allows-bypassing-pin-verification-visa-contactless-cards/ 

 

Share