NCR Corp研究人員展示了針對PoS終端和PIN輸入設備的被動中間人攻擊是如何繞過信用卡芯片和密碼保護、而導致信用卡數據可在其他地方被使用以及修改的。

這種類型的攻擊的工作原理是什么，我們可以做什么來防止PIN輸入設備暴露信用卡數據?

Nick Lewis：支付技術公司NCR Corp安全研究人員Nir Valtman和Patrick Watson在2016年美國黑帽大會展示了他們在支付環境(例如PIN輸入設備)發現的漏洞。他們的研究表明，具有傳統功能的傳統系統和現代系統并不安全，攻擊者可通過監控網絡連接來尋找未加密的信用卡數據。

雖然他們提供的是新內容，但這個漏洞利用其實是一個眾所周知的問題的變種。作為中間人的攻擊者可捕捉信用卡數據或者在交易流量做出更改使其看起來像是在離線進行。

研究人員對這些漏洞的建議包括：使用強加密、使用簽名固件以及加密PIN輸入設備離線交易數據。盡管這些都是非常好的建議，但傳統系統不可能利用它們。最好的做法是企業升級自己的技術來使用點對點加密，而考慮到成本，有些企業可能會選擇承擔安全泄露事故的風險。

然而，這種風險非常大，企業應該采取一些步驟來最小化風險，例如不要存儲支付卡卡號、在交易結束后清除在離線操作時存儲的主賬號，以及在數據存儲后部署令牌技術。

同時，支付卡行業(PCI)標準委員會提供了最佳做法來防止這些風險，企業可部署這些做法來保護其PoS終端。企業還應該注意在支付期間以及在安全意識培訓計劃中使用PIN輸入設備時的不尋常提示。