Card Brand Mixup Attack

Атака смешения брендов карты: обход PIN-кода на картах сторонних производителей с использованием их для транзакций Visa

Авторы: 

David Basin, Ralf Sasse, and Jorge Toro-Pozo, Department of Computer Science, ETH Zurich:

Для большинства транзакций EMV требуется онлайн-авторизация эмитента карты. А именно, платежный терминал продавца отправляет запрос на авторизацию эмитенту карты через платежную сеть, обычно управляемую компанией, которая маркирует карту, например Visa или Mastercard. В этой статье мы показываем, что с точки зрения терминала можно вызвать несоответствие между брендом карты и платежной сетью. Полученная в результате атака смешения брендов карты имеет серьезные последствия для безопасности. В частности, он позволяет преступникам использовать бесконтактную карту Mastercard жертвы для оплаты дорогих товаров, не зная PIN-кода карты. Конкретно, злоумышленник обманывает терминал, полагая, что используемая карта является картой Visa, а затем применяет недавнюю атаку с обходом PIN-кода, о которой мы сообщили о Visa. Мы создали приложение для Android и успешно использовали его для проведения этой атаки для транзакций как с дебетовыми, так и с кредитными картами Mastercard, включая транзакцию на сумму более 400 долларов США с помощью дебетовой карты Maestro. Наконец, мы расширяем нашу формальную модель бесконтактного протокола EMV для машинной проверки исправлений обнаруженных проблем.

adPlace

ссылка

Basin PDFBasin

Paper (Prepublication)

PDFView the slides

BibTeX

@inproceedings {272165,
author = {David Basin and Ralf Sasse and Jorge Toro-Pozo},
title = {Card Brand Mixup Attack: Bypassing the {PIN} in non-Visa Cards by Using Them for Visa Transactions},
booktitle = {30th {USENIX} Security Symposium ({USENIX} Security 21)},
year = {2021},
isbn = {978-1-939133-24-3},
pages = {179–194},
url = {https://www.usenix.org/conference/usenixsecurity21/presentation/basin},
publisher = {{USENIX} Association},
month = aug,