基于卡的木马破解PCI终端

信息安全 注射 智能卡 入侵
2021-08-17 05:05:34

我遇到了一篇文章,其中陈述了以下内容:

根据 MWR InfoSecurity 的说法,网络犯罪分子可以使用包含软件代码的假卡,不仅可以访问显示在塑料卡正面的客户 PIN 和主要帐号,还可以访问商家的 IT 网络。老练的攻击者甚至可以在终端所有者不知道他们的安全系统已被破坏的情况下访问 PIN 键盘终端。

这可以非常简单地完成。例如,餐厅的顾客可以假装使用允许他们访问支付终端的木马卡进行支付。从那时起通过终端的所有 PIN 号码和其他持卡人信息然后被欺诈卡用户使用现有通信渠道(例如 WiFi、蓝牙或移动蜂窝网络)捕获。或者,这些犯罪分子可以简单地返回并重新插入智能卡,以从支付设备收集记录的数据。

我正在努力理解这件事的真实性。任何人都可以阐明这种可能性(或合理性)以及黑客将如何进行此类攻击吗?我不认为这像他们说的那样微不足道。

更新:

我认为重要的是要注意Lucas Kauffman进行的以下研究:

http://security.blogoverflow.com/2012/08/exploiting-atms-a-quick-overview-of-recent-hacks/

1个回答

如果您在 ATM 上执行代码,则可以安装您所描述的后门。这项研究以及在 ATM 上获取代码执行的方法由 Barnaby Jack 开创,并在他的BlackHat (and defcon) 2010 Jackpotting ATMs talk中有详细说明。

其它你可能感兴趣的问题
上一篇政府增加“网络武器”支出对软件行业可能产生什么影响? 下一篇OpenID、SAML 是否会对 Tor 的匿名性构成威胁?如何防止 .exit 节点受损?