包含芯片的信用卡系統在歐洲有悠久的歷史，該系統的簡化版本最近首次在美國推出，其目的在于實現反欺詐雙重檢查。

在這個被稱為“芯片密碼”的系統中，小偷必須同時拿到受害者的芯片密碼卡和PIN碼才能作案。然而法國的電子取證研究人員近期分析了一個實際案例，罪犯在該案例中利用芯片切換的把戲智勝了芯片密碼系統，并通過偽造與正常信用卡看上去完全沒有區別的塑料卡機智地完成了入侵。

來自法國巴黎高等師范學校和普羅旺斯微電子中心的研究人員論文中展示了一張假信用卡被裝在證物袋里的圖片。

法國巴黎高等師范學校的計算機安全研究人員和普羅旺斯微電子中心在上周末聯合發布了一份論文，文中描述了一種信用卡詐騙的特殊案例。2011年和2012年間，法國警方逮捕了五位不具名的法國公民，他們巧妙地繞過了信用卡的芯片密碼系統，花掉了被盜信用卡中將近60萬歐元(約430萬人民幣)。研究人員在對該事件的調查中使用了顯微鏡分析甚至X射線掃描，最終發現這些騙子設法在偷到的信用卡中植入了第二塊芯片，該芯片能夠欺騙銷售終端機使用的PIN碼驗證手段。

來自法國的犯罪分子利用了芯片密碼系統中一個久為人所知但僅僅存在于理論層面的漏洞。這種方式被研究者類比為“中間人”攻擊，過程中利用了卡與讀卡器之間的通訊模式。當買家插入卡片并輸入PIN碼，讀卡器會發出查詢請求，以確認PIN是否正確。偽造的芯片可以竊聽該請求，并搶先向真芯片發送虛假的“Yes”信號，因此哪怕犯罪者輸入的是隨機的PIN碼，也會被通過。巴黎高等師范學校的研究人員雷米·熱羅對媒體解釋稱：“原理的核心在于，攻擊者攔截了PIN查詢和回復的過程，并在任何情況下將回復的查詢結果置為正確。”

法國巴黎高等師范學校和普羅旺斯微電子中心的電子診斷研究人員提示稱，這組法國騙子使用的漏洞至少已經在歐洲范圍內修復，不過官方拒絕詳細解釋新采取的安全措施。國際芯片卡標準化組織對芯片密碼卡標準負責，該機構至今沒有回復媒體對此置評的請求。盡管如此，類似于法國PIN碼欺騙攻擊的案例也已經證明，別有用心的犯罪分子可以擊敗該組織長期認為屬于牢不可破的系統。

來日方長

一組來自劍橋大學的安全研究人員早在2010年就向英國廣播公司展示過這種PIN碼欺騙攻擊的概念驗證版本。與后來發生的實際攻擊有所不同的是，大學研究人員的展示是利用深度修改的現場可編程門陣列套件完成的。除此之外，研究人員還單獨設計了電腦端運行的攻擊軟件。在實驗中，研究人員首先將芯片放進一個圣經大小的盒子里，與安裝了攻擊軟件的筆記本電腦相連，然后將它們連接到信用卡，并將整套系統藏在背包里。利用該方法可以繞過芯片密碼卡的安全設置，并讓小偷使用失竊的信用卡購買商品。

非常機智，很難察覺，而且有時候能夠回避檢測。

相比之下，法國的罪犯們則不需要背包，而只需要一張小小的卡片。FUNcard是一種DIY愛好者使用的廉價可編程芯片，他們使用該芯片設計了入侵裝置。不像劍橋大學研究人員使用的現場可編程門陣列套件，FUNcard比普通信用卡使用的安全芯片大不了多少，騙子可以將失竊信用卡的芯片取出，將它焊到FUNcard芯片上，并將兩個芯片背對背地粘起來放進另一張失竊卡片中。得到的裝置比起正常信用卡只是微微隆起一小塊，從功能上講卻完全能媲美劍橋研究人員的成果。熱羅表示：“它足夠小，可以只通過一張卡片完成整個攻擊流程，在商店內購物……把它放進讀卡器里可能會難一點，但沒有難到會讓人起疑心的程度。這很機智，很難察覺，而且有些時候能夠回避檢測。”

法國研究人員的論文展示了如何將來自失竊信用卡的芯片和FUNcard芯片夾在一起，并放進另一張失竊的信用卡中。

騙子最終使用從法國偷到的信用卡偽造了40張假卡，并用它們在比利時的商店里購買大量彩票和香煙。在進行了超過7000筆虛假交易之后，一家名為經濟股份集團的法國銀行注意到了被盜卡在幾個地點被反復使用的模式。警察在2011年五月逮捕了一位被指使用假卡購買商品的女子。他們隨后在法國的三座城市中逮捕了詐騙團伙的另外四名成員，其中包括制造這些精密假卡的工程師。

X光檢驗

人工著色后的X光圖像顯示了FUNcard芯片和焊接到它上面的被盜卡芯片。

抓住偽造者之后，法國的診斷研究人員卻表示他們并未被完全允許拆卸假卡，因為這些卡片仍舊屬于詐騙犯罪嫌疑人審判中的證據。他們利用非侵入性手段進行了X光掃描，得到的圖像顯示出了隱藏在假卡內的FUNcard標示。之后他們利用假卡插入讀卡器時的用電情況仿制了假卡的計算活動，該卡的電力使用時間序列顯示了和劍橋大學在2010年展示時相同的中間人攻擊跡象。得到的種種結果讓他們最終說服了法官，允許他們完全拆卸裝置并確認罪犯進行信用卡欺詐的機制。

這次攻擊顯示了犯罪分子會為了破解安全系統想得多深。

對劍橋大學的研究人員而言，法國的攻擊屬于某種“我早就告訴過你了”的事件。五年以前，國際芯片卡標準化組織和英國信用卡協會都表示大學研究者展示的攻擊不大可能實現。史提芬·默多克是倫敦大學學院的研究員，也屬于當時的研究團隊，他表示：“可以將我們當時得到的回應恰當地形容為樂觀。我對犯罪分子攻克這個技術難關毫不驚訝，真正讓我驚訝的是他們的實現方式比我們的概念驗證攻擊復雜得多。”

法國的研究人員在論文中提到，國際芯片卡標準化組織已經針對該漏洞，開發了面向讀卡器和銀行網絡的補救措施。至少有一些芯片密碼讀卡器現在會在用戶輸入PIN碼之前就發出驗證請求，檢測卡片發出的是否為偽造的“合法”信號。網絡層面上也增加了更多保護措施，但為了避免啟發犯罪分子，他們拒絕作出詳細說明。

盡管如此，熱羅也很難自信地稱新的安全措施不會被繞過。他們分析的攻擊事件顯示了犯罪分子會為了破解安全系統想得多深。“有可能暫時沒事了嗎?或許。警惕性已經提高，系統也已配備了對策，但仍可能有攻擊者繼續進行嘗試。”

(回復“pin”，獲得完整報告下載地址)

人名和術語

史提芬·默多克(Steven Murdoch)

雷米·熱羅(Rmi Graud)

芯片密碼卡(Chip-and-Pin Card)

法國巴黎高等師范學校(cole Normale Suprieure，ENS)

普羅旺斯微電子中心(CEA-TEC PACA, Centre Microlectronique de Provence)

國際芯片卡標準化組織(EMVCo)

現場可編程門陣列(Field-Programmable Gate Array，FPGA)

英國廣播公司(British Broadcasting Corporation，BBC)

經濟股份集團(European Economic Interest Group)

倫敦大學學院(University College of London)

英國信用卡協會(UK Cards Association)