移动网讯：当地时间2月23日，瑞士苏黎世联邦理工学院表示，他们在去年9月发现了VISA信用卡的安全漏洞，他们发现万事达卡也存在类似的安全漏洞。 　　

　　本质是中间人攻击 　　

　　无PIN码支付就是无密码支付，这是经常使用银行卡的人都很熟悉的。无论在国内还是国外，使用信用卡进行小额支付都可以选择免密码支付。在国内被称为小额免密免签支付。在进行大额支付时，为了保证资金安全，需要使用密码进行支付。 　　

　　这种策略是通过平衡便利性和安全性得到的，持卡人即使丢失信用卡也不会损失惨重。然而，瑞士苏黎世联邦理工学院的研究人员发现的安全漏洞使这一安全策略失效。 　　

　　根据研究人员的说法，一次成功的攻击需要四个部分：两部Android手机，一个特殊的应用程序和一张VISA非连接支付卡。Android需要安装在两部智能手机上，分别模拟卡和POS。 　　

　　攻击的主要思想是POS模拟器要求卡进行支付，修改交易细节，然后通过WiFi将修改后的数据发送到第二部智能手机，从而在不提供PIN码的情况下进行大额支付。因为攻击者已经修改了交易数据，所以不需要输入PIN码。 　　

　　根据研究人员的分析，这次成功的攻击是由于VISA非接触式支付协议和EMV标准中的设计缺陷。攻击者可以利用这些漏洞修改非接触式支付交易中的数据，包括控制交易细节的域以及是否验证了持卡人。 　　

　　交易中的持卡人验证方式既不认证也不加密。在攻击期间，卡数据对象卡交易限定符将被修改。 　　

　　为什么漏洞会影响万事达卡？ 　　

　　据研究人员称，VISA信用卡漏洞是基于EMV标准信用卡发起的攻击。分别代表Europay、MasterCard和VISA的EMV是最早制定该标准的三家公司。它是国际金融业为可以使用芯片卡的智能支付卡、POS终端和自动柜员机(ATM)制定的标准。 　　

　　换句话说，几乎所有使用该标准的信用卡都会受到该漏洞的影响，只是具体攻击方式有所不同。 　　

　　对万事达卡的攻击也利用了EMV标准中的安全漏洞，但在攻击中，又增加了一步：混淆信用卡品牌。 　　

　　在信用卡正常使用过程中，终端不仅会识别信用卡卡号，还会根据唯一可识别的标识符确定信用卡的品牌，然后接入相应的清算网络，再进行正常交易。 　　

　　在攻击过程中，攻击者还用两部手机分别模拟POS机和卡。与VISA卡攻击不同的是，攻击者会通过程序操纵NFC(或Wi-Fi)通信，混淆唯一可识别的标识符，使模拟POS机的终端误认为是VISA卡交易。 　　

　　这样，POS终端执行VISA交易，而卡本身执行MasterCard交易来完成攻击。研究人员证实，四家银行发行的信用卡和借记卡被攻破。 　　

　　这样的攻击不可能轻易完成。研究人员表示，在攻击之前，攻击者必须能够访问被攻击的信用卡，并在发送数据响应之前修改数据。