網(wǎng)上有很多關(guān)于pos機輔助驗證,PIN驗證黑客可繞過的知識，也有很多人為大家解答關(guān)于pos機輔助驗證的問題，今天pos機之家(www.tjfsxbj.com)為大家整理了關(guān)于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

1、pos機輔助驗證

pos機輔助驗證

即使Visa發(fā)出警告，稱新的JavaScript Web分離器稱為Baka。近日，國內(nèi)知名網(wǎng)絡安全組織東方聯(lián)盟發(fā)現(xiàn)了該公司的EMV支持卡中的一個新缺陷，該缺陷使黑客能夠非法獲取資金并欺詐持卡人和商人。

東方聯(lián)盟安全研究人員表示：“它是一種PIN繞行攻擊，攻擊者可以利用受害者的被盜或丟失的信用卡在不知道該卡PIN的情況下進行高價值購買，甚至騙人一點銷售（PoS）終端接受非真實的離線卡交易?！?/p>

所有使用Visa協(xié)議的現(xiàn)代非接觸式卡，包括Visa Credit，Visa Debit，Visa Electron和V Pay卡，都受到安全漏洞的影響，但研究人員認為它可以應用于Discover和UnionPay實施的EMV協(xié)議。但是，該漏洞不會影響萬事達卡，美國運通和JCB。

研究結(jié)果將在明年5月于舊金山舉行的第42屆IEEE 安全和隱私研討會上進行介紹。

通過MitM攻擊修改卡交易資格

EMV（Europay，Mastercard和Visa的縮寫），是廣泛使用的智能卡支付國際協(xié)議標準，因此，只能從具有PIN碼的信用卡中扣除較大的金額。

但是由ETH研究人員設計的設置利用協(xié)議中的一個嚴重缺陷，通過Android應用發(fā)起了中間人（MitM）攻擊，該應用“指示終端不需要PIN驗證，因為持卡人驗證是在消費者的設備?！?/p>

該問題源于以下事實：持卡人驗證方法（CVM）并未受到密碼保護，無法修改，該方法用于驗證使用信用卡或借記卡進行交易的個人是否為合法持卡人。

結(jié)果，可以修改用于確定交易所需的CVM檢查（如果有的話）的卡交易資格證明（CTQ），以通知PoS終端覆蓋PIN驗證，并且驗證是使用持卡人的設備進行的例如智能手表或智能手機（稱為消費設備持卡人驗證方法或CDCVM）。

利用離線交易而無需付費

此外，東方聯(lián)盟研究人員還發(fā)現(xiàn)了第二個漏洞，該漏洞涉及由Visa或舊的萬事達卡進行的離線非接觸式交易，從而使攻擊者能夠在將特定的數(shù)據(jù)稱為“應用程序密碼”（AC）傳輸?shù)矫荑€之前進行更改。

離線卡通常用于直接從持卡人的銀行帳戶中支付商品和服務，而無需PIN碼。但是，由于這些交易未連接到在線系統(tǒng)，因此在銀行使用密碼確認交易的合法性之前會有24到72個小時的延遲，然后從帳戶中扣除購買金額。

罪犯可以利用這種延遲的處理機制來使用他們的卡來完成低價值的離線交易而無需支付費用，此外，在發(fā)卡銀行由于密碼錯誤而拒絕交易之前，還可以取消購買。

緩解PIN繞過和離線攻擊

除了告知Visa缺陷外，研究人員還提出了對該協(xié)議的三項軟件修復，以防止PIN繞過和離線攻擊，包括使用動態(tài)數(shù)據(jù)身份驗證（DDA）來保護高價值的在線交易，并要求在其中使用在線密碼。所有PoS終端，這導致脫機交易被在線處理。

研究人員總結(jié)說：“我們的攻擊表明，PIN對Visa非接觸式交易毫無用處，并且揭示了萬事達和Visa的非接觸式支付協(xié)議的安全性之間令人驚訝的差異，這表明萬事達比Visa更安全。” “這些缺陷違反了基本的安全屬性，例如身份驗證和有關(guān)已接受交易的其他保證?！?（歡迎轉(zhuǎn)載分享）

以上就是關(guān)于pos機輔助驗證,PIN驗證黑客可繞過的知識，后面我們會繼續(xù)為大家整理關(guān)于pos機輔助驗證的知識，希望能夠幫助到大家！