वैज्ञानिकों ने कुछ क्रेडिट कार्ड की सुरक्षा प्रणाली में खामी का पता लगाया है

नियमित आधार पर खरीदारी के भुगतान के लिए संपर्क रहित बैंक कार्ड एक त्वरित और आसान विकल्प है. संपर्क रहित भुगतान करने के लिए पीओएस मशीन पर अपना कार्ड टैप करना आवश्यक है.

छोटी मात्रा को तेजी से और आसानी से चार्ज किया जा सकता है, और कार्ड को सुरक्षित माना जाता है क्योंकि बड़ी रकम डेबिट करने के लिए सुरक्षा कोड की आवश्यकता होती है.

इनमें से अधिकांश लेनदेन मुख्य रूप से ईएमवी मानक पर आधारित हैं, जो ऊपर तक लागू होता है 9 दुनिया भर में अरबों ताश. हालाँकि तब से इसमें कई बार संशोधन किया जा चुका है, उन्नत एल्गोरिदम में कई कमजोरियाँ हैं जिनका फायदा उठाया जा सकता है.

विभिन्न सुरक्षा प्राधिकारियों को पहले से ही सामान्य में त्रुटियाँ मिल रही हैं, वैज्ञानिकों पर ईटीएच ज्यूरिख अब एक और परिचय दिया है, गंभीर सुरक्षा खामी.

प्रारंभिक कदम के रूप में, डेटा सुरक्षा के प्रोफेसर डेविड बेसिन ने राल्फ़ सैसे के साथ सहयोग किया, लैपटॉप विज्ञान प्रभाग के एक वरिष्ठ शोधकर्ता, और जॉर्ज टोरो पॉज़ो, बेसिन की सभा में एक पोस्टडॉक, एक उद्देश्य-निर्मित मॉडल को डिज़ाइन करना ताकि वे ईएमवी मानक के केंद्रीय भागों की जांच कर सकें. उन्हें बैंक कार्ड फर्म वीज़ा द्वारा उपयोग किए जाने वाले प्रोटोकॉल में एक महत्वपूर्ण अंतर का पता चला.

यह भेद्यता धोखेबाजों को उन कार्डों से धन प्राप्त करने की अनुमति देती है जो खो गए हैं या चोरी हो गए हैं, हालाँकि मात्राओं को पिन कोड दर्ज करके सत्यापित करने का आरोप लगाया गया है.

यह भेद्यता धोखेबाजों को उन कार्डों से सामान इकट्ठा करने का अधिकार देती है जो खो गए हैं या चोरी हो गए हैं, इसकी परवाह किए बिना कि मात्राओं को पिन कोड दर्ज करके प्रमाणित किया जाना चाहिए. टोरो इसे प्रमुखता से रखता है: “सभी अपेक्षाओं और कार्यों के लिए, पिन कोड यहीं अप्रभावी है।

विभिन्न निगम, मास्टरकार्ड के समान, अमेरिकी विशिष्ट, और जे.सी.बी, समान वीज़ा प्रोटोकॉल का उपयोग न करें, इसलिए ये ताश के पत्ते सुरक्षा खामियों से प्रभावित नहीं होंगे. बहरहाल, दोष अनकवर और यूनियनपे द्वारा जारी किए गए कार्ड पर लागू हो सकता है, जो वीज़ा की तरह एक प्रोटोकॉल का उपयोग करते हैं.

विश्लेषकों के पास यह प्रदर्शित करने का विकल्प था कि अभ्यास में भेद्यता का लाभ उठाना संभव है, भले ही यह वास्तव में अप्रत्याशित चक्र है. उन्होंने शुरुआत में एक एंड्रॉइड सॉफ़्टवेयर बनाया और इसे दो एनएफसी-सक्षम सेल फोन पर स्थापित किया. इससे अनुमति मिल गई 2 इकाइयों से डेटा का अवलोकन करने के लिए क्रेडिट कार्ड शुल्क टर्मिनलों के साथ चिप और वाणिज्य जानकारी. अप्रत्याशित रूप से, विश्लेषकों को ऐप इंस्टॉल करने के लिए एंड्रॉइड ऑपरेटिंग फ्रेमवर्क में किसी विशेष सुरक्षा सुविधाओं को दरकिनार करने की ज़रूरत नहीं थी.

पहले सेल फोन का उपयोग भुगतान कार्ड से महत्वपूर्ण डेटा को स्कैन करने और तीसरे पक्ष के बैंक कार्ड से अस्वीकृत धनराशि प्राप्त करने के लिए दूसरे सेल फोन में स्थानांतरित करने के लिए किया जाता है।. चेकआउट पर राशि डेबिट करने के लिए निम्नलिखित सेलफोन का उपयोग किया जाता है, इन दिनों समान संख्या में कार्डधारक ऐसा करते हैं. जैसा कि आवेदन करने वाला घोषित करता है कि खरीदार बैंक कार्ड का अनुमोदित व्यक्ति है, विक्रेता को यह नहीं लगता कि लेनदेन धोखाधड़ीपूर्ण है. मुख्य मुद्दा यह है कि ऐप कार्डबोर्ड की सुरक्षा प्रणाली को मात देता है. हालाँकि राशि सीमा से अधिक है और पिन पुष्टिकरण की आवश्यकता है, किसी कोड का अनुरोध नहीं किया गया है.

बिक्री के विभिन्न बिंदुओं पर अपने बैंक कार्ड का उपयोग करना, शोधकर्ता यह दिखाने में सक्षम थे कि धोखाधड़ी योजना काम करती है.

टोरो कहते हैं, "यह घोटाला विभिन्न देशों में विभिन्न मुद्राओं में जारी किए गए डेबिट और क्रेडिट कार्ड के साथ काम करता है।"

वैज्ञानिकों ने पहले ही वीज़ा को इस भेद्यता के प्रति सचेत कर दिया है, उसी समय एक विशिष्ट उत्तर प्रस्तावित करना.

यात्रा बताते हैं, “प्रोटोकॉल में तीन समायोजन किए जाने की आवश्यकता है, जिसे अगले सॉफ़्टवेयर अपडेट के साथ भुगतान टर्मिनलों में स्थापित किया जा सकता है. इसे न्यूनतम प्रयास से भी किया जा सकता है. ताश के पत्तों को बदलने की आवश्यकता जैसी कोई बात नहीं है, और सभी समायोजन ईएमवी मानक के अनुसार समायोजित हो जाते हैं।"

जर्नल संदर्भ:

1. बेसिन एट अल. ईएमवी प्रथागत: तोड़ना, मरम्मत, पुष्टि करना. arXiv:2006.08249 [सीएस.सीआर] arxiv.org/abs/2006.08249