ncr corp研究人員展示了針對pos終端和pin輸入裝置的被動中間人攻擊是如何繞過信用卡晶元和密碼保護、而導致信用卡資料可在其他地方被使用以及修改的。
這種型別的攻擊的工作原理是什麼,我們可以做什麼來防止pin輸入裝置暴露信用卡資料?
nick lewis:支付技術公司ncr corp安全研究人員nir valtman和patrick watson在2023年美國黑帽大會展示了他們在支付環境(例如pin輸入裝置)發現的漏洞。他們的研究表明,具有傳統功能的傳統系統和現代系統並不安全,攻擊者可通過監控網路連線來尋找未加密的信用卡資料。
雖然他們提供的是新內容,但這個漏洞利用其實是乙個眾所周知的問題的變種。作為中間人的攻擊者可捕捉信用卡資料或者在交易流量做出更改使其看起來像是在離線進行。
研究人員對這些漏洞的建議包括:使用強加密、使用簽名韌體以及加密pin輸入裝置離線交易資料。儘管這些都是非常好的建議,但傳統系統不可能利用它們。最好的做法是企業公升級自己的技術來使用點對點加密,而考慮到成本,有些企業可能會選擇承擔安全洩露事故的風險。
然而,這種風險非常大,企業應該採取一些步驟來最小化風險,例如不要儲存支付卡卡號、在交易結束後清除在離線操作時儲存的主賬號,以及在資料儲存後部署令牌技術。
同時,支付卡行業(pci)標準委員會提供了最佳做法來防止這些風險,企業可部署這些做法來保護其pos終端。企業還應該注意在支付期間以及在安全意識培訓計畫中使用pin輸入裝置時的不尋常提示。
中間人攻擊 你的信用卡資料是這樣暴露的
ncr corp研究人員展示了針對pos終端和pin輸入裝置的被動中間人攻擊是如何繞過信用卡晶元和密碼保護 而導致信用卡資料可在其他地方被使用以及修改的。這種型別的攻擊的工作原理是什麼,我們可以做什麼來防止pin輸入裝置暴露信用卡資料?nick lewis 支付技術公司ncr corp安全研究人員n...
https的SSL中間人攻擊
what 中間人攻擊 man in the middel attack,mitm 通過攔截正常的網路通訊,並進行資料改寫或者嗅探,而通訊雙方無感知。where 場景 假設愛麗絲 alice 與鮑勃 bob 通訊,馬克里 mallory 中間嗅探。如圖 步驟如下 1 愛麗絲傳送給鮑伯一條訊息,卻被馬洛...
kali mimtf中間人攻擊框架的安裝
安裝依賴檔案 sudo apt get install python dev python setuptools libpcap0.8 dev libnetfilter queue dev libssl dev libjpeg dev libxml2 dev libxslt1 dev libcaps...