资安研究人员成功绕过Visa感应式卡片支付的刷卡金额限制

资安公司Positive揭露Visa感应式支付存在漏洞，可让骇客进行中间人攻击绕过支付限制，Positive已经成功在5家英国主要的银行，实现这个感应式支付攻击，无论使用的卡片终端装置为何，都可以绕过感应式支付的30英镑限制，而且研究人员发现，这种攻击方式可能可以在英国之外的地方进行。

感应式支付攻击的手段，主要是操作卡片与终端机器，在感应支付时交换的两个资料字段。在英国，当支付需要额外的持卡人验证，像是支付超过30英镑的情况，卡片会回应拒绝交易，以防止超过限额付款，另外，终端装置上则有国家地区专门的设定，像是要求卡片或是行动钱包，对持卡人进行额外的验证，例如在手机上输入密码或是指纹辨识。

而Positive成功使用装置，拦截感应式卡片与机器之间的通讯，以绕过这两种支付检查，研究人员提到，这种装置能够扮演代理人的角色，用于中间人（MITM）攻击。在支付阶段，中间人装置会告诉卡片即便超过30英镑的限制也不需要验证，同时中间人装置还会欺骗终端装置，假装已经进行过其他支付验证。

研究人员提到，之所以这种攻击有机可乘，是因为Visa没有要求发卡机构和收单机构，在没有提供最低限度的检查时阻挡交易。而且这种攻击手法也可以用在GPay等行动钱包，当使用者在这些服务中绑定Visa卡片，可以在不解锁手机的情况下，未经使用者同意收取最高30英镑的金额。

要防范这种攻击，研究人员建议用户应该定期查看自己银行账户报表，以提早发现相关的不正常款项，以及使用银行额外的安全措施，像是支付验证或是SMS通知。另外也提到，感应式卡片的诈欺事件正不断增加，而Positive可以轻易地绕过这些验证机制，则代表可能有更多的使用者遭遇损失，研究人员认为，发卡机构不应该依赖Visa提供安全的支付协定，要有自己的措施，阻止这类的攻击。