前言

银行卡面世之后，全球范围内针对银行卡的攻击一直都没有停止过。经统计，全球各国每年银行坏帐的总数达到了几十亿美元。那么，为什么银行卡的安全会屡屡遭受挑战呢？大众又应该怎样去保障银行卡的安全呢？正所谓“未知攻？焉知防！”本期将会对 EMV 芯片卡、PBOC 芯片卡的 4 种攻击方法以及每种方法所针对的安全问题进行细致的分析，同时还会提供有效的防范措施。

EMV芯片卡面临的安全威胁

什么是EMV？什么是PBOC？

EMV 是全球银行芯片卡所采用的标准。中国银联的标准是 PBOC。EMV 这个名称是由（欧陆卡，已被万事达收购）、(万事达卡)以及 VISA（维萨）这三大国际组织的英文名称的首字母组合而成的。EMV 芯片卡的出现，是为了解决长期以来一直困扰着银行业的银行磁条卡被复制、克隆从而导致盗刷的问题。

传统的磁条卡内部的数据是静态的，所以很容易被复制、克隆，接着就可以进行正常消费盗刷。EMV 卡每次交易时会动态创造一个独特交易码，此交易码如下方图 1 中紫色部分所示。经过分析发现，它其实是将磁条卡的二轨信息加密后进行动态储存，其外围包裹着动态校验，能有效保护里面二轨信息的安全，即下方图 1 中紫色部分的黄色框住部分。按理来说，EMV 芯片卡的动态校验技术可以大大减少银行卡被盗刷的情况。

通过软件读取到EMV芯片卡内的信息结构

美国在 2015 年 10 月 1 日新卡发行时使用 EMV 全面替换磁条卡之后，然而全球 EMV 芯片银行卡被盗刷的事例并未减少。

那么，使用 EMV 卡之后，我们的银行卡内资金就安全了吗？是否如此呢？

芯片卡的出现遏制了银行磁条卡复制事态的愈演愈烈，这让大量攻击者一时间不知所措。银行对芯片卡的表现感到满意，可是否就能从此高枕无忧呢？然而，好景不长，不久后，安全研究人员开始关注 EMV 协议的漏洞，并成功找到了利用该漏洞的方法。

目前针对 EMV 芯片银行卡或 PBOC 芯片银行卡，经分析后，已验证的有效攻击手法有：贴卡中间人攻击、交易快照劫持攻击、认证中间人攻击、强制读取内核密钥这四种攻击方法。

1、贴卡中间人攻击

贴卡中间人攻击出现的时间较为靠前。这种攻击的主要特点如下：攻击者得获取到用户原先的 EMV 卡的芯片；攻击者即便不知道用户的 PIN 码也能够完成取款操作。

这种攻击的思路经分析整理后为：黑客首先要窃取合法用户的芯片卡 A。接着，从原芯片中提取出来，并与构造的恶意芯片卡 B 进行对接。在整个交易过程中，芯片卡 B 充当中间人的角色，能够与原芯片以及 POS 互相实时传输信息。最终，形成了恶意贴片卡 C。攻击者持有卡 C 进行 POS 机交易时，能够绕过 PIN 码验证这一环节。也就是说，即便输入任意的 PIN 码，也都可以达成正常交易。对整个交易流程进行分析后，得出的攻击流程图如图 2 所示。

通过软件读取到EMV芯片卡内的信息结构

攻击者借助伪造卡，在 POS 机终端与原卡芯片间构建了中间人攻击，其详细过程见图 3。其一：POS 机先向伪造卡索要持卡人信息，伪造卡将此请求转至原卡并获取到准确的 EMV 卡片信息，接着把该信息转发给 POS 机终端；其二：攻击者在 POS 机上输入任意的 PIN 码，POS 机向伪造卡发送此 PIN 码，并要求对其进行校验。伪造卡将校验请求转发给原卡，原卡校验 PIN 时失败了。然而，在伪造卡传输到 POS 机的过程中，校验信息被修改成了始终为 TRUE 的状态。这样一来，就最终绕过了脱机密码校验，使得攻击者即便输入任意的 PIN 码，也能够正常进行交易。

EMV芯片卡中间人攻击示意图

2、交易快照劫持攻击

存在上述贴卡中间人攻击方法，然而利用条件极为苛刻，所以未形成针对 EMV 银行芯片卡的规模化有效攻击。8 月 4 号的大会上，来自某地方的高级安全工程师通过名为“La-Cara”的小小装置对 EMV 银行芯片卡进行攻击，在 15 分钟内让 ATM 机吐钞。下图为 和他的助手在大会上演示他的成果。

与助手现场演示ATM吐钞

这种攻击具有这样的特点：在整个攻击过程中，需要用到两部设备，并且要实时传输交易快照。

攻击者首先借助植入 La-Cara 模块来收集数据，整个植入过程无需打开机器，在外部就能完成植入。接着，当用户使用此台设备进行交易时，La-Cara 能够获取到用户的实时交易快照，然后通过特定信道传输这些快照，之后在另一台 ATM 上重现这些快照，从而实施实时攻击。

经过分析，攻击流程如图5所示。

EMV芯片卡ATM攻击流程

交易快照劫持攻击主要针对的安全弱点是，在交易过程中交易快照能够被捕获，同时还没有抗重放攻击的机制。这种方式的可操作性不强，所以没有形成规模化攻击。

3、认证中间人攻击

在这一天的黑帽大会上，NCR 的两位研究人员 Nir 和向大家展示了另一种攻击 EMV 卡的方式。他们采用被动和主动的中间人攻击，取代了密码键盘设备的密钥库和文件。为获取用户的 PIN 码（身份验证码），攻击者在交易流程中劫持屏幕信息，当出现要求用户输入 PIN 码的界面时（如图 6 所示），就能捕捉到明文形式的 PIN 码。

屏幕注入后界面

认证中间人攻击具有以下特点：其一，无需盗取原用户的芯片；其二，需要用户输入正确的 PIN 码。其攻击的详细流程如图 7 和图 8 所示。

用户正常交易时序图

实施中间人攻击后的时序图

对比后可知，用户进行交易时，攻击者在支付程序与 POI（ ）中起了中间人的作用，能获取 EMV 卡内信息，像信用卡验证值 CVV 码等。在进一步获取到用户的 PIN 码后，最终完成了交易。

认证中间人攻击的攻击思想类似贴卡中间人攻击。其都是针对整个交易过程中存在的问题，即缺乏对交易对象身份的认证。这样就能获取关键的 EVM 信息以及 PIN 码，进而进行后续恶意行为，以达到盗刷的目的。这种攻击可通过改装 POS 机来实现，即在用户插芯片卡进行交易时窃取信息。

4、强制读取内核密钥

它们安全性依赖的关键点是以下两种核心技术

1、密钥

2、动态校验

2019 年的黑客技术大会上，中国台岛地区的人员从另一方向对 EMV 芯片卡实现了突破。他们不理会 EMV 的加密算法，直接凭借物理方式强行读取到了底层内核密钥。并且在 EMV 动态校验数 10 秒的时间内，成功获取到了密钥，还与 EMV 芯片原卡完成了动态校验同步，使得获取到的数据与原芯片卡保持一致。

针对EMV芯片卡强制读取内核密钥及动态校验同步

此时，不需要原卡了，利用获取到的数据，能够制作出一张和原卡一样的芯片卡。不过，这种方法需要获取到原芯片卡，由于使用条件很苛刻，所以没有形成规模化，在生活中的危害性也不如第 3 种方法高。

如果不法分子使用第 3 种方法和第 4 种方法。第 3 种方法是改装 POS 机来获取芯片卡内的信息，第 4 种方法是制作出一张与原卡一致的芯片卡（克服了第 4 种方法需要原卡的弊端）。这无疑会对全球银行业的整体安全构成全新的挑战。不过幸运的是，无论是第 3 种方法还是第 4 种方法，都需要一定的技术，不像以前的磁条卡那么简单，这应该能够减少相关金融欺诈事件的发生。

总的来说，EMV 和 PBOC 芯片卡的出现，在一定程度上把磁条卡容易被复制的状况给解决了。然而，随着新的攻击方式的出现，芯片卡也遭遇到了新的挑战。在使用芯片卡的时候，要能看到芯片卡所存在的安全隐患。安全问题绝对不能疏忽大意。安全的责任，是既重大又长远的！