http://static.cnbetacdn.com/article/2015/1125/c458ccbaf5eac8c.jpg

Samy Kamkar 先前就曾写过好几款黑客工具,最近他造了一台相当牛掰的设备,该设备能够读取和预测信用卡卡号,绕过卡片中嵌入的芯片密码(chip & PIN)保护机制。该设备名为 MagSpoof,它实际读取的是存储在信用卡/储蓄卡磁条中的信息。

有了这东西,黑客可以分析卡片的磁区域,并将信息储存到 MagSpoof 设备上。磁条区域是用于验证卡片交易的,所以卡片号码和其他细节信息实际上也是被编码到磁条中的。一旦你的卡片信息被存储到了 MagSpoof 上面,MagSpoof 就能用你的卡片去买东西了。

使用磁条读取器就能从中获取数据,或者使用吸附到磁条磁区域的金属粉末。根据 Kambar 所说,只要将他的这台设备放到 PoS 机(基于磁条读取的)旁边,就能完成交易。这个过程还是有可能的,交易用的就是 MagSpoof 先前获取到的数据,它能够以更高的强度再现先前获取的磁信息,达成靠近就完成支付的目的,根本不需要刷先前那张卡。

Kamkar 说,MagSpoof 可以保存从多个磁条获取的数据,MagSpoof 甚至还能禁用芯片密码保护机制。磁条中 PIN 请求是以 1bit 编码形式存在的,这个比特位就要求读卡设备给出 PIN 密码。Kamkar 宣称,它搞定了这个比特位,使之失去 Chip & PIN 芯片密码支持。也就是说 MagSpoof 可以骗过读卡设备,告诉读卡设备,该卡片没有 Chip & PIN 芯片密码。

另外,由于更换卡片的某些固定规则,Kamkar 还为 MagSpoof 添加了一项能够预测新卡号的功能,主要是基于先前那张卡片的到期时间。也就是说即便持卡人取消旧卡,换新卡,也能基于 Kamkar 的算法调整磁条数据,继续用 MagSpoof 来进行交易。

这台 MagSpoof 设备造价大概就 10 美元左右,已经用美国运通发行的卡试过。当前 MagSpoof 的开源代码已经在 GitHub 公布,不过 Kamkar 没有公布犯罪分子可将其用于非法目的关键部分。

20 收藏


直接登录
最新评论

推荐关注