近日，一年一度的世界黑客大會(huì)DEFCON在美國(guó)拉斯維加斯拉開大幕，聚集了來(lái)自世界頂尖的安全專家和黑客，帶來(lái)了信息安全領(lǐng)域最為前沿的課題。來(lái)自中國(guó)360的95后安全專家展示了對(duì)NFC信用卡的一種“中繼”攻擊方法。該研究成果可在持卡人毫無(wú)察覺的情況下，盜刷具有NFC功能的信用卡及VisaPay信用卡。

　　這種攻擊方式將影響國(guó)內(nèi)外多種銀行卡。不過(guò)，公眾不必過(guò)于緊張。據(jù)了解，這種攻擊方法僅限于影響“小額免密免簽名”的NFC信用卡，且不超過(guò)200元，借記卡則不受影響。此外，由于此項(xiàng)攻擊技術(shù)難度非常高，目前生活中還沒有發(fā)現(xiàn)類似被盜刷的實(shí)例。

現(xiàn)場(chǎng)圖：DEFCON連續(xù)三屆演講者，95后安全研究員現(xiàn)場(chǎng)展示NFC中繼攻擊

　　現(xiàn)場(chǎng)：信用卡不離手被“盜刷”10元

　　在DEFCON現(xiàn)場(chǎng)，360無(wú)線電安全研究部研究員單好奇向嘉賓公布了這項(xiàng)研究成果。

　　演示中，研究人員將一張具有VISA標(biāo)志的某銀行信用卡放在A工具旁邊，幾米之外的B工具指示燈則不停閃爍。隨后，工作人員將手持POS刷卡機(jī)對(duì)準(zhǔn)B工具，很快POS機(jī)上就顯示已成功消費(fèi)10元。

　　據(jù)悉，這是360無(wú)線電安全研究部鯤鵬團(tuán)隊(duì)和獨(dú)角獸團(tuán)隊(duì)的最新研究成果。360無(wú)線電安全研究部研究員單好奇表示，這是一種對(duì)RFID芯片卡的最新攻擊方法，將其命名為NFC“中繼”攻擊。具有NFC功能的信用卡一般支持近距離非接觸刷卡，而360研究人員搭建了一個(gè)特殊的“橋梁”，可以多次欺騙POS機(jī)和信用卡，擴(kuò)大了這個(gè)距離。

　　單好奇介紹稱，此攻擊可影響國(guó)內(nèi)外很多具有NFC的閃付功能信用卡及VisaPay信用卡。不過(guò)，由于這種信用卡通常僅有200元以下小額免密碼免簽名功能，因此單筆盜刷金額不會(huì)超過(guò)200元。普通借記卡由于不論數(shù)額大小都需要輸入密碼，因此不受影響。

　　保護(hù)：建議使用屏蔽功能的介質(zhì)，如卡套、卡防

　　單好奇介紹，雖然銀行機(jī)構(gòu)對(duì)各種卡片的安全性不斷升級(jí)，但是這種攻擊方法仍然對(duì)國(guó)內(nèi)外很多種銀行卡適用。NFC是萬(wàn)物互聯(lián)時(shí)代各類智能設(shè)備連接的基石之一，安全極為重要。研究人員不斷“攻擊”，找到其中的漏洞，就是為了更好的防范，避免損失。目前，360公司已經(jīng)在多種專業(yè)會(huì)議上同有關(guān)部門積極進(jìn)行溝通。

　　“不管怎樣的盜刷，攻擊者都要讀到銀行卡數(shù)據(jù)，保護(hù)數(shù)據(jù)成為重中之重。”360無(wú)線安全研究部負(fù)責(zé)人楊卿介紹，現(xiàn)在市場(chǎng)上包括360公司推出了具有阻隔信號(hào)讀取的卡防、卡套來(lái)阻隔信號(hào)，或者可以購(gòu)買具RFID信號(hào)屏蔽功能的錢包，手包及類似產(chǎn)品。如果實(shí)在不放心，可向銀行申請(qǐng)關(guān)閉小額支付免密功能、切換到ApplePay或使用銀聯(lián)云閃付等帶有“二次認(rèn)證”功能的支付方式，更加安全。