具备NFC(闪付)功能的各种卡片越来越多,很多人享受“非接触”刷卡带来的便利。但是,能够“非接触”刷卡的不止商家,还有攻击者。9月11日至13日,亚太地区最大的安全盛会中国互联网安全大会(ISC2017)在国家会议中心召开。13日下午的2017 HACKPWN破解秀暨物联网安全论坛上,来自360 Unicorn Team的单好奇展示了一种对NFC闪付功能信用卡的攻击方法,在持卡人毫无察觉的情况下被攻击者近距离盗刷。
单好奇现场演示盗刷银行卡过程
HACKPWN是由全球顶尖黑客团队与360集团旗下众多安全团队共同发起,在吸收国内外各安全峰会优点的基础上,融入最新颖最有趣的各类智能硬件破解秀与破解赛,重金打造的基于物联网安全的大型安全专题活动。截止目前已成功举办两届,作为ISC的重点特色活动,目的是倡导万物互联时代安全无忧的智能生活,希望通过活动帮助智能设备厂商找到和解决存在的漏洞,同时也希望加强民众对智能设备的安全防范意识。
单好奇在现场演示了“吸金全过程”:他自制了两款“黑客”工具,将一张具有闪付功能银行信用卡放在其中一块工具旁边,然后手持POS刷卡机对准另一个接收器,POS机器很快显示已成功消费金额1.23元,并打印出消费凭单,同时他的手机也收到了相应的消费提示。
单好奇介绍,这是一种对NFC功能卡片最新的攻击方法,与借记卡数额无论大小都需要支付密码相比,NFC功能的信用卡一般有200元以下小额刷卡免密功能,这款工具正是“利用”了这个功能,在读卡器与接收器之间搭建了一个独特的桥梁,将正常非接触式支付功能的作用距离(一般为3-5cm)大大扩展。
现场揭秘银行卡被攻击的原理
360无线电安全研究院负责人杨卿介绍,4G与NFC是万物互联时代各类智能设备连接的基石,安全性极为重要。研究人员不断“攻击”找到其中的漏洞,就是为了更好的防范,避免损失。不管怎样的盗刷,攻击者都要读到银行卡数据,因此保护银行卡数据成为重中之重,也能起到阻隔信号的作用,可以购买卡防卡套等工具。如果实在不放心,也可以向银行申请关闭小额支付免密功能或使用云闪付。
ISC 迄今今年已经是第五届,作为亚太地区安全行业规模最大、影响力最高的行业盛会,每一届大会都吸引了大量来自世界各国的顶级安全安全专家和安全从业人员参与,经过不断地积累、创新,中国互联网安全大会一定程度上已经成为中国互联网安全行业的展的风向标,逐渐成长为网络安全行业世界级平台。