릴레이 공격에 여전히 취약한 업그레이드 된 네덜란드 지불 카드

케임브리지 대학의 연구원에 따르면 네덜란드 결제 카드에 새로운 보안 기능이 구현 되어도 사기범이 은행 계좌에서 돈을 훔칠 수있는 공격을 막을 수는 없습니다. 영국의

Cambridge Computer Group의 Steven J. Murdoch과 Saar Drimer는 수요일에 네덜란드 TV 쇼 "Goudzoekers"에서 새로운 보안 기능을 갖춘 지불 카드가 여전히 소위 릴레이 공격에 취약하다는 사실을 시연했다.

중계 공격은 사기꾼이 무선 기술을 사용하여 유럽 전역에서 사용되는 칩 및 PIN 지불 카드의 은행 카드 세부 사항 및 PIN (개인 식별 번호)을 얻는 방법입니다. 칩 및 PIN 카드는 POS 장치 나 현금 기계에 4 자리 PIN을 입력해야하며 PIN은 카드에 내장 된 마이크로 칩에 의해 인증되었습니다.

[추가 정보: 맬웨어 제거 방법 귀하의 Windows PC에서]

릴레이 공격에서 피해자의 카드 정보는 변조 된 결제 단말기를 통해 기록됩니다. PIN 번호는 사기꾼에 의해 관찰 된 후 다른 곳에서 동시 거래를 수행하는 공범자에게 전달됩니다. 공범자는 변조 된 결제 단말기에서받은 피해자의 은행 정보를 사용하여 사기 거래를하는 가짜 무선 지원 지불 카드를 보유하고 있습니다.

2007 년 Drimer와 Murdoch이 릴레이 공격을 시연했으나 머독은 영국과 네덜란드의 은행들이 여러 종류의 공격을 저지하기 위해 새로운 보안 기능을 갖춘 지불 카드를 업그레이드 할 계획을 갖고 있다고 전했다. Murdoch과 Drimer는 세 가지 새로운 기능이있는 네덜란드 은행이 발급 한 카드를 테스트했습니다.

하나는 동적 데이터 인증으로, 은행 시스템에 다시 연결할 필요없이 카드를 정품으로 인증 할 수 있습니다. 이렇게하면 소위 "예"공격을 막을 수 있습니다.이 공격에서는 PIN을 트랜잭션에 사용할 수 있습니다. 또 다른 기능은 고객의 PIN이 결제 단말기와 카드 간의 통신 중에 암호화되어 일반 텍스트 PIN의 차단을 방지합니다.

마지막 새 기능은 iCVV입니다. 칩 및 PIN 카드에는 이전에 카드의 마이크로 칩에 계정 세부 정보가 들어있는 마그네틱 스트라이프 정보 사본이 들어있었습니다. Murdoch은 iCVV를 통해 완전한 자기 스트라이프 정보가 더 이상 칩에 저장되지 않는다고 말했다. Murdoch은이 쇼에서 보여 주듯이 세 가지 기능 중 어느 것도 릴레이 공격을 중단하지 못했다고 전했다. 그러나 이들 중 어느 것도 릴레이 공격을 막기 위해 특별히 설계되지는 않았다고 그는 말했다. "Goudzoekers"의 프로듀서는 새로운 카드가 여전히 릴레이 공격에 취약한지를보고 싶다고 머독은 말했다. 머독은 칩과 PIN 카드의 보안에 대한 방대한 연구를해온 머독은 자신과 Drimer의 네덜란드 비행을 위해 돈을 지불했다고 말했다. 새로운 기능은 릴레이 공격을 방지합니다. 그러나 네덜란드 정부는 다른 나라의 시스템에 더 많은 경험을 얻기 위해이위원회의 위임을 받아 들였다. 네덜란드 은행 협회는 성명서에서 릴레이 공격은 거의 3 년이 지난 것으로 발표하면서 최신 실험을 기각했다. 머독은 중계 공격이 어렵다는 것을 인정한다. 그러나 카드의 강력한 보안 기능으로 인해 다른 공격이 쉽게 차단되므로 범죄자들이 "이 문제를 조사하기 시작할 것"이라고 말했다. 은행 협회는 "범인은 너무 어리 석고 게으른 사람"이라고 주장했다. "머독이 말했다. "범죄자들은 ​​게으르다. 그러나 그들은 바보가 아니다."