就在Visa对一款名为Baka的新型JavaScript网络掠取器发出警告之际，网络安全研究人员发现了该公司支持EMV的信用卡中的一个新缺陷，该漏洞使攻击者能够非法获取资金并诈骗持卡人和商户。 这项研究是由苏黎世联邦理工学院的一群学者发表的，它是一种PIN绕行攻击，攻击者可以利用受害者的被盗或丢失的信用卡在不知道该卡PIN的情况下进行高价值购买，甚至骗人一点销售（PoS）终端接受非真实的离线卡交易。 所有使用Visa协议的现代非接触式卡，包括Visa Credit，Visa Debit，Visa Electron和V Pay卡，都受到安全漏洞的影响，但研究人员认为它可以应用于Discover和UnionPay实施的EMV协议。然而，这个漏洞并不影响万事达、美国运通和JCB。 研究结果将在明年5月于旧金山举行的第42届IEEE 安全和隐私研讨会上进行展示。 通过MitM攻击修改卡交易资格 EMV（Europay、Mastercard和Visa的缩写）是广泛使用的智能卡支付的国际协议标准，它要求较大的金额只能从带有PIN码的信用卡中借记。 但ETH研究人员设计的设置利用了协议中的一个关键缺陷，通过Android应用程序发起中间人（MitM）攻击，“指示终端不需要PIN验证，因为持卡人验证是在消费者的设备上进行的。” 这个问题源于这样一个事实：持卡人验证方法（CVM）没有加密保护以防止修改，该方法用于验证尝试使用信用卡或借记卡进行交易的个人是否是合法持卡人。 所以，可以修改用于确定交易所需的CVM检查（如果有的话）的卡交易资格证明（CTQ），以通知PoS终端覆盖PIN验证，并且验证是使用持卡人的设备进行的例如智能手表或智能手机（称为消费设备持卡人验证方法或CDCVM）。 利用离线交易而无需付费 此外，研究人员还发现了第二个漏洞，该漏洞涉及Visa卡或旧万事达卡进行的离线非接触式交易，使得攻击者能够在数据被传送到终端之前修改一个名为“应用密码”（AC）的特定数据。 离线卡通常用于直接从持卡人的银行帐户中支付商品和服务，而无需PIN码。但是，由于这些交易未连接到在线系统，因此在银行使用密码确认交易的合法性之前会有24到72个小时的延迟，然后从帐户中扣除购买金额。 攻击者可以利用这种延迟的处理机制来使用他们的卡来完成低价值的离线交易而无需支付费用，此外，在发卡银行由于密码错误而拒绝交易之前，还可以取消购买。 研究人员说：“这构成了“免费午餐”攻击，因为罪犯可以购买低价值的商品或服务而根本不收取任何费用，”他补充说，这些交易的低价值性质不太可能是“有吸引力的业务”。罪犯的榜样。” 缓解PIN绕过和离线攻击 除了向Visa国际组织通报缺陷外，研究人员还提出了三种软件修复方案，以防止PIN绕过和离线攻击，包括使用动态数据认证（DDA）保护高价值的在线交易，以及要求所有PoS终端使用在线密码，这会导致脱机事务被联机处理。 研究人员得出结论：“我们的攻击表明，PIN对Visa非接触式交易毫无用处，而且揭示了Mastercard和Visa的非接触式支付协议的安全性存在惊人的差异，表明万事达卡比Visa更安全。”这些缺陷违反了基本的安全属性，比如身份验证和有关已接受交易的其他保证。”     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，最近，Visa在一个安全警报中强调了正在持续发生的POS系统攻击及针对加油站加油泵的数据盗取问题。Visa欺诈部门在一起事件披露，一名恶意行动者利用发给一名商户职工的钓鱼邮件在该商户的网络上安装了一个远程访问木马，然后通过横向移动到销售点环境的方式安装了一个RAM scraper来收集支付卡数据。 资料图 在另一起事件中，Visa也发现了类似的行为–一名黑客入侵目标网络、进入POS环境窃取银行卡数据。Visa指出，在这一事件中，该名黑客专门追踪发生在加油站的磁条交易数据。该公司认为一个叫为FIN8的网络犯罪组织可能是这次攻击的幕后黑手。 此外，Visa还提到了针对北美酒店商户的第三起网络攻击。虽然该攻击并没有专门针对加油站，但信用卡运营商表示，FIN8有可能在未来的攻击中利用这次攻击的恶意软件攻击加油站。   （稿源：cnBeta，封面源自网络。）

全球最大的比特币和加密货币交易平台之一 Coinbase 的用户从本月开始就遭遇了许多预期之外的麻烦，许多用户投诉涌入客服。Coinbase 的虚拟货币用户账号遭遇了交易撤销，非授权收费，以及产生了许多额外的费用等等，上周五，Coinbase 正式在推特账号给出了解释，声称这是由于信用卡发卡机构 Visa 改变了数字货币交易的 MCC 码策略所致。 MCC 码, 全称为: Merchant Category Code , 是银行卡机构鉴别刷卡消费类型的类别代码。Coinbase 称 Visa 在本月初将面向使用数字货币交易的 MCC 码更改，使其能够向数字货币交易的使用者征收“额外的费用”，这导致大量交易产生了预期之外的费用。 不过 Visa 声称面向数字货币交易的的 MCC 码分类策略并未修改。随后又与 WorldPay 发表联合声明称 Coinbase 用户产生的交易撤销，非授权收费，以及产生了许多额外的费用问题并非 Coinbase 平台的原因，Visa 和 WorldPay 对这些问题负责，大量被撤销交易问题已经被重新解决，将与 CoinBase 合作解决此类问题。 Coinbase 目前正在积极主动地与大型信用卡机构协商，为数字货币交易创造新的 MCC 码，争取为用户带来不征收额外现金费用的使用环境。 稿源：cnBeta，封面源自网络；

据英国《每日邮报》10 月 19 日报道，支付处理巨头 Visa 正在推出新平台，允许银行将各种类型的生物识别技术（包括指纹、面部、语音等）应用到审批信用卡申请和付款中。消费者可以通过几种不同的方式体验 Visa 的新平台。 如果申请者在智能手机上申请信用卡，银行 app 会要求申请人先自拍，再将本人的驾驶执照或护照拍照上传。之后，会用技术比较照片的面部相似性，检查驾驶证的有效性。这一切都可以在几秒钟内完成。这种新技术可以让客户使用 Apple 的 Touch ID 或其他指纹识别技术，以及自拍或录音，来审批他们的交易，而不是通过银行呼叫中心在客户进行交易时自动拨打用户的号码。 作为防欺诈的保护措施，金融公司对这种生物识别技术非常感兴趣。因为出生日期，社会保险号码或姓氏很容易被盗或模仿，但要模仿一个人的脸，指纹或声音则很难。通常人们在不同的访问站点会使用相同的密码，因此如果一个站点的密码被盗，那么其他站点的密码也将面临风险。 虽然几乎每家银行都对该技术感兴趣，但并不是每家银行都有摩根大通、美国银行或花旗集团那样的规模，可以为本银行内部的生物识别专家提供资金支持。Visa 所做的就是为银行和信用合作社提供一个平台，将这些生物特征技术安装到他们自己的应用软件中，无需自行内部构建。该公司表示，Visa 本身并不存储任何生物识别技术，它只是为银行和生物识别技术公司之间搭建联系。目前，银行可能不会立即整合 Visa 的新平台，但行业专家认为，未来几年，不仅是在银行业中，更多的行业都将出现不同形式的生物识别及认证技术。 稿源：cnBeta、环球科技，封面源自网络；

来自纽卡斯尔大学的一组安全研究人员发现了一种称为分布式猜测攻击的新方法，只需 6 秒即可破解 VISA 信用卡。攻击者利用 VISA 支付系统漏洞，自动生成不同的信用卡数据并在多个网站交易，通过交易回复信息判断信用卡数据是否正确。 研究人员推测，这种方法可能被用于最近针对乐购银行的网络攻击，导致 250 万英镑被黑客窃取。 研究发表在学术期刊《IEEE Security & Privacy》，讲述了所谓的分布式猜测攻击如何规避所有的安全防御功能，以保护在线支付免受欺诈。 攻击利用了支付系统两个不太严重的缺陷，但是一起使用会对整个支付系统造成严重的威胁。 首先，目前的在线支付系统无法检测出，来自不同网站的多个无效付款请求。这允许攻击者对每个信用卡片的数据字段进行无限次猜测，每个网站通常可以进行 10 到 20 次尝试。 其次，不同的网站要求卡片的不同数据字段来验证是“真实”的在线支付交易。 这意味着攻击者可以像拼玩具一样，把卡片各数据字段拼凑出来。 具体步骤： 首先，黑客以有效卡号为起点自动发送它们到许多网站去验证有限性。 下一步是到期日期，信用卡的有效期为 60 月，所以猜测日期最多需要 60 次。 CVV(信用卡安全代码)是最后的屏障，理论上只有卡持有人知道该号码，但猜测这三位数最多尝试 1000 次 通过上述步骤就可以获得被黑账户的所有数据。 如何避免此类欺诈： 1、限制在线支付金额 2、银行卡不要存大量的钱，资金已到位立刻转出 3、保持警惕、注意交易记录 稿源：本站翻译整理，封面来源：百度搜索