犯罪组织如何打败安全的Chip-and-PIN技术

中国从2014年1月、美国从2015年10月开始用更安全的Chip-and-PIN信用卡取代旧的磁条信用卡。但早在2011年，欧洲的犯罪组织就已经能伪造Chip-and-PIN信用卡（使用窃取的有效信用卡），方法是在验证过程中发动中间人攻击。研究人员上周发布报告（PDF）分析犯罪组织是如何做到的。Chip-and-PIN信用卡的交易验证包含三个步骤：卡验证、持卡人验证和交易验证。其中磁卡人验证是输入PIN。犯罪组织编程了一个名叫FUN卡的芯片使其能接受任意的PIN，然后将其焊接在信用卡的原始芯片上。当刷卡机要求顾客输入PIN时，持有伪造卡的人就随意输入PIN，FUN卡拦截了PIN验证，告诉刷卡机信息是正确的，可以开始交易验证。在交易验证阶段，FUN卡在刷卡机和原始芯片之间中继交易数据，向发卡银行发送交易验证请求。