想象一下，你丟失了信用卡，并從銀行申請(qǐng)了一張新的信用卡。但是，如果在你收到這張新卡之前，一些網(wǎng)絡(luò)罪犯就已經(jīng)在使用你的新信用卡，此時(shí)你作何感想?是的，這完全是可以實(shí)現(xiàn)的，至少使用這個(gè)僅僅10美元的設(shè)備MagSpoof就能夠做到。

信用卡號(hào)碼預(yù)測(cè)和竊取利器MagSpoof

硬件黑客Samy Kamkar已經(jīng)搭建了一個(gè)成本10美元的設(shè)備，它可以預(yù)測(cè)并存儲(chǔ)成百上千個(gè)美國(guó)運(yùn)通信用卡號(hào)碼，并允許任何人使用它進(jìn)行無線支付交易，即使是在非無線終端上。

這個(gè)設(shè)備名為MagSpoof，根據(jù)一個(gè)注銷的信用卡的號(hào)碼以及請(qǐng)求辦理新卡的時(shí)間，它能夠猜測(cè)下一個(gè)信用卡號(hào)碼和新的過期日期。這個(gè)過程不需要三位或四位的數(shù)CVV號(hào)碼，CVV號(hào)碼通常印制在信用卡的背面。

這個(gè)小工具將是信用卡詐騙犯的夢(mèng)想利器，利用該工具他們能從偷來的信用卡盜取現(xiàn)金，即使這些信用卡已經(jīng)被它真正的主人注銷掉。

[[157752]]

MagSpoof是什么?

MagSpoof是一種設(shè)備，針對(duì)美國(guó)運(yùn)通信用卡，它具有以下功能：

1、通過無線方式欺騙任何磁條或信用卡，即使是標(biāo)準(zhǔn)的磁卡或信用卡讀卡器;

2、禁用芯片和PIN(EMV)保護(hù);

3、切換不同的信用卡;

4、準(zhǔn)確地預(yù)測(cè)信用卡號(hào)碼和有效期。

[[157753]]

MagSpoof是如何工作的?

MagSpoof的無線功能是通過發(fā)射一種強(qiáng)大的“電磁場(chǎng)”來實(shí)現(xiàn)的，這種電磁場(chǎng)能夠模擬一種傳統(tǒng)的磁條卡，讓其看起來好像是通過物理接觸方式被刷的。Kamkar在它的博客中說道：

“令人難以置信的是，磁條讀卡器不需要任何形式的無線接收器、RFID或NFC，因?yàn)镸agSpoof是以無線方式工作的，即使是標(biāo)準(zhǔn)的條碼讀卡器。你可以將它放到任何傳統(tǒng)的POS系統(tǒng)上，那么它將會(huì)認(rèn)為正在刷一張卡。”

在丟失一張美國(guó)運(yùn)通信用卡后，Kamkar注意到更換的新卡的號(hào)碼似乎與之前的三張美國(guó)運(yùn)通信用卡有一定的關(guān)系。Kamkar記錄了所有的號(hào)碼，并制定了一個(gè)全局模式(global pattern)，這種模式使他能夠準(zhǔn)確地預(yù)測(cè)20張美國(guó)運(yùn)通卡和更換卡的號(hào)碼，這些號(hào)碼都是他們朋友提供來供他研究的。

視頻演示

可以觀看下面的視頻來了解整個(gè)攻擊過程。

Kamkar還提供了必要的代碼，可以從Github上下載，按照這里的指令來構(gòu)建自己的MagSpoof設(shè)備，但是這份代碼有所改變，因?yàn)镵amkar刪除了禁用EMV的功能代碼，并且還未公布美國(guó)運(yùn)通卡號(hào)預(yù)測(cè)算法。想要深入探索MagSpoof，那么請(qǐng)閱讀Kamkar發(fā)布的博客全文。

美國(guó)運(yùn)通已收到該問題的報(bào)告，并聲稱公司正在修復(fù)該漏洞。