Phát hiện sự mất an toàn của thẻ chip

8/5/2016 2:45:28 PM
Các chuyên gia máy tính tại Mỹ cho biết, đã tìm thấy một lỗ hổng an ninh khác trong việc sử dụng các thẻ tín dụng công nghệ chip - thẻ vốn được coi là khó làm giả.

 

Các chuyên gia máy tính tại Mỹ cho biết, đã tìm thấy một lỗ hổng an ninh khác trong việc sử dụng các thẻ tín dụng công nghệ chip - thẻ vốn được coi là khó làm giả.

Mối lo ngại nằm ở dải từ trên thẻ tín dụng, vốn có tác dụng thông báo cho thiết bị thanh toán đọc thông tin chủ thẻ qua chip.

Tuy nhiên, theo các chuyên gia, tính bảo mật sẽ nhanh chóng bị phá vỡ, nếu kẻ gian viết lại mã của dải từ, khiến thẻ chip không khác gì một chiếc thẻ từ thông thường và rất dễ làm giả.

Hệ thống thẻ tín dụng dùng chip thay cho dải từ từ lâu đã được khối châu Âu sử dụng. Thực chất, thẻ chip chỉ khiến kẻ trộm khó lấy cắp thông tin hơn mà thôi. Bằng chứng  là các nhà nghiên cứu Pháp đã phát hiện ra một trường hợp có thật, kẻ xấu đã lừa được hệ thống đọc chip của thẻ bằng một loại thẻ nhựa gần giống với thẻ tín dụng.

Vào năm 2011 và 2012, đã có 5 công dân Pháp bị bắt vì sử dụng biện pháp này để rút gần 600.000 euro từ các thẻ tín dụng sử dụng công nghệ chip ăn cắp. Bằng cách phân tích dưới kính hiển vi và quét X-quang, các nhà nghiên cứu đã phát hiện ra kẻ trộm đã lấy thẻ tín dụng đánh cắp để cấy vào đó một chip thứ hai bên trong, có khả năng đánh lừa xác thực mã PIN ở các máy ATM.

Kẻ trộm đã tận dụng được kẽ hở này trong hệ thống thẻ chip (hai lần xác thực, bằng chip và mã pin) để thực hiện tấn công dạng "man-in-the-middle", là kiểu tấn công vào giữa cách thẻ và bộ đọc thẻ giao tiếp với nhau. Khi một người mua chèn thẻ và nhập mã pin vào máy đọc thẻ, máy sẽ đọc nội dung chip của card ngay khi mã PIN xác nhận là chính xác. Một chip giả có thể bắt được nội dung giao tiếp này và đánh lừa chip thực khi giả chip thực phản hồi lại cho bộ đọc là "OK" bất kể mã PIN có đúng hay sai.

Mẹo đánh lừa mã PIN đã được các chuyên gia bảo mật phát hiện và trình diễn hồi năm 2010, cụ thể là một nhóm nhà nghiên cứu bảo mật thuộc Đại học Cambridge. Lúc ấy, họ trình diễn tấn công dựa trên FPGA, là loại chip được chỉnh sửa rất nhiều, được gắn trên một bản mạch cỡ lớn, kết nối với laptop và chạy một phần mềm tấn công. Nhóm nhà nghiên cứu Cambridge đã cho đài BBC thấy bộ FPGA có thể kết nối được với một thẻ tín dụng và có thể giấu bên trong một chiếc ba lô nào đó để vượt mặt được bảo mật chip-and-PIN của thẻ chip, cho phép kẻ trộm dùng thẻ tín dụng đánh cắp để rút tiền hay mua hàng.

Thực tế ở Pháp, kẻ trộm đã qua mặt mã PIN đến 40 dựa trên các thẻ tín dụng bị mất cắp, và dùng chúng để mua rất nhiều sổ xố và thuốc lá từ các cửa hàng Bỉ. Sau khi phát hiện hơn 7.000 vụ giao dịch giả, một viện tài chính Pháp đã chú ý đến các mẫu thanh toán giống nhau, được lặp đi lặp lại ở vài địa điểm. Tháng 5/2011, cảnh sát đã bắt giữ một người phụ nữ 25 tuổi đang thanh toán. Họ theo dõi và bắt thêm 4 người khác, trong đó có một kỹ sư từng nổi danh vì làm thẻ giả

Thông tin này đã khiến cho không ít công ty bán lẻ tại Mỹ cảm thấy không hài lòng đặc biệt là sau khi các doanh nghiệp này đã phải tiêu tốn 25 tỷ USD để nâng cấp hệ thống thanh toán sử dụng thẻ chip theo yêu cầu từ phía ngân hàng.

Tổng hợp

Các tin khác