马萨诸塞大学阿默斯特分校(University of Massachusetts Amherst)和宾夕法尼亚州立大学(Pennsylvania State University)的计算机工程师发现,欺诈者可以将被盗的支付卡添加到数字钱包应用程序中,并在受害者报告卡被盗且银行阻止卡后仍继续进行在线购物。 便利性>安全性不同的用户可以在不同的移动设备上将同一张卡添加到不同的数字钱包中。该功能的存在是为了更容易在家庭中共享卡片,但很容易被恶意个人利用。 将卡添加到不同的钱包并进行欺诈性购买是由于银行对数字钱包应用程序的安全机制的信任而成为可能。 银行依靠应用程序来选择身份验证方案(通常是较弱的、基于知识的方案)来授权卡与应用程序的关联,并依靠设备内的生物识别验证方法来识别授权交易的持卡人(但它假设手机的所有者是持卡人)。 最后,银行允许支付基于订阅的服务,即使是丢失/被盗的卡,这样持卡人就不会产生滞纳金/罚款。欺诈者可以进行一次易,但将其标记为定期付款,从而绕过银行的交易授权限制。 “任何知道(物理)卡号的恶意行为者都可以假装是持卡人,”马萨诸塞大学阿默斯特分校电气和计算机工程助理教授Taqi Raza指出。“数字钱包没有足够的机制来验证卡用户是否是持卡人。”
另一个缺点是,一旦被盗的卡号被保存在欺诈者的数字钱包中,即使持卡人要求更换卡并且银行签发新卡,它们也会在那里并继续工作。 “银行不会重新验证存储在钱包中的卡。他们所做的只是将虚拟号码映射更改为新的物理卡号,“Raza 解释说。因此,欺诈性购买继续发生。 给银行的建议将被盗卡添加到新的钱包应用程序的唯一潜在障碍是,如果受害者在此之前锁定了卡。除此之外,攻击者可以秘密地进行欺诈性购买,最终只能被受害者识别和质疑。 科学家们使用美国主要金融机构(大通银行、美国运通银行、美国银行、Discover、美国银行和花旗银行)发行的卡和三种流行的数字钱包应用程序(Apple Pay、Google Pay 和 PayPal)测试了各种情况。 他们建议银行在将卡添加到钱包时不要依赖钱包应用程序和他们首选的传统身份验证方法。他们建议使用推送通知或密码。 银行还应定期重新验证钱包并刷新发行给它的支付令牌,尤其是在发生卡丢失等事件后。最后,银行应该评估交易的元数据,以便他们能够“看到”付款是一次性的还是经常性的(而不是依赖商家提供这些信息)。 研究人员与这些公司分享了他们的发现,其中一些公司已经采取行动。 “我们收到了来自谷歌、花旗、大通和Discover的回应。在撰写本文时,谷歌正在与银行合作,以解决Google Pay上报告的问题,“他们说。 “然而,银行向我们报告说,已披露的攻击不再可能。大通银行证实,已经采取了额外的欺诈检测和交易限制措施来解决报告的漏洞;然而,花旗和Discover没有向我们透露具体的缓解措施。我们还没有收到美国运通、美国银行、美国银行、苹果和PayPal的回复。 更新(美国东部时间 2024 年 8 月 19 日下午 02:45): “我们的一位合作者是此事的直接受害者。卡丢失后,他们锁定了卡,但有人继续在卡上付款。这篇论文是我们研究如何做到这一点的结果,“马萨诸塞大学阿默斯特分校电气和计算机工程博士候选人Raja Hasnain Anwar告诉Help Net Security。 “在更大的范围内,我们不知道这种攻击方法有多普遍,但我们可以肯定地确认有一些攻击者使用这种方法。 他指出,如果任何人知道持卡人的账单地址、出生日期或身份证件的最后四位数字,他们都可能成为攻击者——而这些详细信息很容易通过在线数据库获取。 “我们已经证实,现在向新设备添加卡变得更加困难,因为大多数钱包都使用 MFA 而不是 KBA。Chase 将我们与他们的红队联系起来,以更好地了解攻击者,AMEX 还确认我们的威胁报告是有效的,他们正在努力解决问题。然而,没有银行或钱包传达他们为解决问题所采取的确切步骤,“他补充说。 消费者应该定期检查他们的信用卡对账单,但他们也应该进入银行的门户网站或移动应用程序账户设置,并打开电子邮件通知,了解何时从钱包中添加/删除卡以及交易进行。一些银行允许客户监控哪些设备(和钱包)正在积极使用该卡。 “这些安全设置通常不容易找到。至少与我交谈过的人不了解这些设置,他们是安全研究人员,他们认真对待自己的财务安全,“安华说。 “因此,我们还鼓励银行使这些设置易于找到,并教育他们的客户了解适当的安全机制。
|