Vladislav Biryukov

在本系列的第一部分，我们探讨了银行卡’盗读者’所使用的犯罪技术。今天，我们将为您讲述此类犯罪案件的另一部分内容，即这些犯罪分子是如何实施危险性最高的盗读过程。 外包盗读过程 对于大多数’盗读者’而言，根本无需掌握太多专业的犯罪技术。然而，有些操作–包括硬件安装过程–危险性极高。有时候，这些高危工作就外包给了所谓的’业内专家’。 一名技术娴熟的”专业人员”只需要30秒钟左右的时间就能安装完成一部盗读设备。除此之外，还需要完成多个步骤的前期准备和情报收集工作，包括：现场环境和监视摄像机的分析以及确定人最少的时段—所有这些工作都少不了长期在目标附近蹲点的同谋犯。 熟练安装工所安装的盗读器很难被拆除。头脑冷静、衣着考究的绅士只需声称在ATM机上看到了一些可疑的东西并只是想在报警之前确认一下，就能将自己的罪行洗脱得一干二净。此类犯罪行为难以被证实，尤其是在犯罪分子将黏胶和安装的盗读器清除以后。这也是为什么银行方面建议用户不要去触碰任何可疑的东西，而应直接报警的原因。 除了ATM机以外，”盗读者”感兴趣的目标还有其它接受银行卡的终端类型。这些终端包括：加油站和火车站的自动售货机–以及其它各种类型的自动售货机。相比于ATM机而言，普通人对于此类机器的戒心较少，且安全保护等级也更低。 “收割”犯罪活动 一旦盗读硬件安装完毕，犯罪分子就能实施第二阶段的”欺诈”工作–’收割’。他们利用欺诈行为还未被发现前的这段时间疯狂地复制尽可能多的银行卡：只要银行发现了这一盗读犯罪活动，”被收割”银行卡持卡人阻止他们的几率将更高。为了观察现场状况，”盗读者”的同谋犯必须在目标ATM机对面的车内或咖啡厅内长期蹲点。 如果一直没人发现ATM机有异样，欺诈活动将一直进行下去直到电池耗尽，从而盗取上千个银行卡认证信息。 如果一直没人发现ATM机有异样且银行安保也毫无察觉的话，欺诈活动将一直进行下去直到电池耗尽，从而盗取上千个银行卡认证信息。 最贪心的犯罪分子会去拆除设备以便用于下次犯罪活动，但最聪明的”盗读者”则会直接将设备遗弃，为的是最大降低被捕风险。从被盗卡所赚取的所有利润可能有数千美元之多，这足以弥补任何设备的损失。 从复制的银行卡内取款也是一种独立的高风险犯罪行为–因此这一部分的工作也常常被外包出去。一般来说，”钱骡”被雇佣来完成这一部分的工作。 有时候”钱骡”只是简单地将取出的现金交给专业化的”盗读者”，按之前商定好的比例抽取佣金。但也有一些”钱骡”会主动购买被盗磁条数据，但这是另一回事了。 过于原始的技术 从银行卡内窃取现金之所以如此轻而易举，主要得益于银行卡的安全技术过于原始。基于磁条的银行卡最早出现在几个世纪以前，而在上个世纪中叶，专门窃取和复制银行卡认证信息还闻所未闻。 从银行卡内窃取现金之所以如此轻而易举，主要得益于银行卡的安全技术过于原始。 记录在磁条上的数据缺乏足够的保护措施，只有一条相当短且易受攻击的PIN码用来进行交易验证。在发明磁条技术后还出现了几种加强的保护技术，但却并非是每一张银行卡的标配。 不用说，支付系统和银行已花费了数年的时间来开发一种针对该问题的解决方案。在过去的20年内，欧洲越来越多采用同时配备磁条和集成芯片的EMV银行卡。 两者之间的差别是芯片无法像磁条那样能被复制。在使用EMV银行卡取现时，ATM机会要求卡内芯片创建一个独一无二的一次性密钥，虽然也可能会被盗走，但却无法用于另一笔交易。 尽管安全研究人员已报告了大量存在于EMV银行卡内的漏洞，但在实际操作起来却是另一回事。虽然这一技术进步可能会彻底打垮”盗读者”的犯罪活动，但依然需要一段过程：全部采用EMV银行卡将是一个长期、复杂且代价高昂的过程，并需要相关各方的参与。 所有相关各方都必须参与其中，共同协作：支付系统、银行、购方企业、POS终端生产商以及其他各方。这也是为什么如此多的国家（包括发达市场）依然使用陈旧的非EMV银行卡的原因。 即便如此，基于EMV的银行卡也有可能被盗读。但为了与旧式终端反向兼容和提高适应力，可能必须是基于磁条数据（而非芯片）才能完成交易。 据欧洲ATM机安全团队报告，尽管EMV程序正在全美范围开发，但”盗读者”依然十分猖獗。亚洲的印度尼西亚和泰国，欧洲的保加利亚和罗马尼亚也成为这方面风险最高的国家。 有关如何避免成为#ATM#机盗读者受害人的10条简单的#安全小贴士# 银行可能会赔偿被盗读者所窃取的资金，尤其是当责任被转移到了另一方–可以是支付系统、ATM机所有人或保险公司。但大多数情况下，被盗读卡持有人将不得不自己买单，这方面已有大量的案例佐证。 规避法则 不存在万无一失的方法能100%保证你的银行卡不会被ATM机盗读者所利用，但我们可以为你提供一些简单的安全小贴士以规避此类风险。 1.如果你的银行卡没有集成EMV芯片，则应完全弃用。你可以要求银行为你更换EMV银行卡。即便使用芯片集成的银行卡也无法保证100%的安全，但依然能规避大部分的风险。 2.启用短信通知功能来更好地追踪交易。你越早发现被盗刷的证据，则追回损失资金的可能性越高。 3.如果你不是经常外出旅行或出差，询问银行是否能够限制异地交易（当你需要出国时，可以将交易权限限制在目的地国境内）。这是一种非常有效的方法，在欧洲多国已得到验证。

我们都知道需要小心提防扒手。尽管早期儿童教育并没有教给孩子如何在外面时盯紧自己口袋，但生活的经历教会了他们这些简单的道理。同样的道理也适用于网络黑客。如今，互联网上铺天盖地有关网络黑客活动的报道，即使是儿童也略知一二。 但有关”盗读者”的新闻却鲜有报道，因此很容易让你不知不觉地落入此类网络犯罪活动的圈套。这些盗读者借助安装在ATM机上的微型隐秘硬件，专门从事盗取银行卡认证信息的犯罪活动。尽管警察、银行和支付系统都付出了巨大努力，但银行卡账户的盗窃金额依然呈上升趋势。 盗读者有点像扒手（都使用类似的手上技巧），在某种程度上也有点像网络黑客–他们所从事的犯罪活动完全依赖于一些高科技和PC电脑技术。 只要你使用ATM机提款就有可能成为他们的攻击目标。一旦你的银行卡内没有内置芯片，你的处境将十分危险：无芯片银行卡被盗读的风险要高得多。如果你没有订阅银行短信通知、将自己的银行卡随意插入街上看的任何ATM机以及将取现PIN码到处公开的话，这些都会让你成为盗读犯罪受害人的可能性更高。而你的这些愚蠢行为将让盗读者们暗自窃喜。 事实是，近些年来此类违法活动案件与日俱增，且所用技术不断进步。但犯罪原理仍然缺乏新意：使用隐秘技术读取银行卡磁条内数据，偷偷记录PIN码，将卡复制后清空该银行卡账户内的所有资金。然而，数据盗窃的技术却已突飞猛进。 完全商业化 以前，有一些盗读者还会将自制的银行卡读卡器和粗制滥造的硬件用在ATM机加钞盒上，冒着当场被抓的风险手动提取数据。但这样的时代早已过去了。随着这个”行业”的不断发展，动手自制工具的盗读者也已不复存在。如今，银行卡盗读变成了一项组织精良且高度自动化的犯罪活动。 这一犯罪链的第一环是现成硬件解决方案（由大量可用部件制作而成）的制造者和销售者。所有交易均在网上进行，并通过快递送到买家手中–对于犯罪分子而言这是最安全的方法。 想要验证盗读硬件是否真如想象得那般流行，只需在任何一个搜索引擎中输入一个简单的求购信息。这一套工具包括：可从一张塑料卡片内提取数据的隐秘读卡器、一块能够获取PIN码的伪造面板以及附带相应功能的复制卡设备，所有这一套售价通常在1500-2000美元之间。而信息科学专家Brian Krebbs估计这样一套工具在几年前的售价高达1万美元。 盗读工具的买家并不需要是精通技术的专业黑客：这些工具通常都会附带详细的操作手册，有些手册甚至还写有’最优方法’的内容。有些内容甚至详尽到列明了推荐使用的一次性电池型号，以确保读卡器能够电力充足，持续工作。 科技突飞猛进 技术进步加上巨大的需求，推动了用于违法活动的电子部件技术的飞速发展。一旦安全专家推荐采用何种特殊方法检查ATM机，那这种推荐的方法很快就会失效。 首先，经验丰富的犯罪提供商所出售的硬件几乎很难与ATM机原始部件区分。即使是再仔细的用户都无法分辨两者的区别：伪造的加钞盒无论是所用塑料的材质类型还是颜色都与合法的加钞盒一模一样。只是在形状上稍有不同。 之所以能如此逼真，是因为制造商精心仿制了大量广泛使用加钞盒模型（拥有众多客户的大型银行都使用这一模型）的ATM机元素。当然，银行本身也采用了反盗读技术作为应对方法。 其次，还有盗读者将读卡器手动放入加钞盒随后进入ATM机内部。这一新奇的小玩意引述自欧洲ATM安全团队（非营利性组织）近期所发表的报告中。更可怕的是，此类设备根本无需读取银行卡磁条—他们使用ATM机内的资源来读取。 手动提取数据也早已过时了。新型读卡器配备有通过普通蜂窝网络发送加密（你听的没错，盗读者也用这玩意！）磁条数据的GSM模块。 看好你的PIN码 一切准备就绪后，获取PIN码变成了最简单的一环。为了偷偷记录PIN码，犯罪分子只需使用微型隐秘摄像机甚至类似于iPod Touch（以细长Z高度和强劲电力而著称）这样的普通移动设备就能办到。 微型摄像机可以安装在ATM机按键上方或房间的其他位置。盗读者尤其钟情于银行用来摆放宣传资料的架子。作为银行的内部装饰，这些通常都被视为安全的。 然而，如果有取款人不小心用手挡住了镜头，则偷偷安装的微型摄像机将无法起到任何作用。此外所拍摄视频也无法很方便地发送和处理，并需要一些手动工作。 针对ATM机小键盘的细长伪造面板的价格正在变得越来越便宜，现在黑市的售价普遍低于1000欧元，这也造成此类犯罪案件数量的持续攀升。如此就算镜头被遮住–伪造面板也能检测你的PIN码。将4位PIN码通过短信发送至盗读者数据库相比处理一长段视频要容易许多，且整个过程几乎都是自动进行的。 当然，尽管盖在原始小键盘上的虚拟面板明显有凸起感，但几乎没有一个取款人会近距离检查键盘并仔细查看之间的缝隙。从上面看，整个结构看不出什么异常–伪造面板采用与原始ATM机键盘相同的钢材和优质涂漆。 此外盗读者还使用另一项技术，用来保护解码和复制的信息。这也是盗读者用防范其他竞争同行和执法人员的方法。 一旦密码错误，盗读软件将无法提醒用户输入PIN码错误–只是简单地关机了事。一旦这些错误密码交给警察，盗读者完全可以辩解说这个程序是一种无害的小软件。这样的手段真是”高明”… 而想要证明这是这是用于犯罪活动，执法人员必须聘请有资质的专家来分析这些代码，而这将使一个艰苦且旷日持久的过程。 依照上述所说的，科技只是犯罪案件的一部分。许多盗读操作依然采用的是手动方法，且风险极高。在接下来的博客中，我们将详细论此类案件中这一部分内容，同时还将为您提供一些安全小贴士以保护银行账户避免落入犯罪分子之手。

你在晚上是否得到了充足的睡眠？平心而论，我自己的睡眠并不太好。只要考虑到我们平时忙乱的生活，没有时间在晚上获得良好的睡眠也不足为奇了。 但如果即便你提早上床也无法得到充足休息的话，那问题到底出在哪里？ 来自德国和美国的研究人员建议在上床前限制使用一切电子设备—例如，不使用平板电脑来阅读—引用自他们近期发表在《美国国家科学院院刊》（一本卓越的科学杂志）上的一篇研究报告。 该研究报告完全基于一项试验：十几个年龄在25岁左右的健康志愿者在一家医疗中心呆了两周的时间接受试验。所有志愿者都被要求在光线昏暗的房间进行阅读，每天4小时，10点准时上床。在第一周，一半的人使用苹果iPad阅读，另一半人则阅读纸质书本。第二周，两组人相互调换。 这个试验结果显示出一个十分明显的趋势。平板电脑用户的入睡所需时间比阅读纸质书本的人平均长了10分钟，而在不同步睡眠阶段的时间则少了10%（这是我们做梦时的睡眠阶段）。同样平板电脑用户血液内的褪黑激素水平比纸质书本阅读者低了55%—褪黑激素被认为是’睡眠荷尔蒙’并被用于治疗失眠。 在研究期间，使用iPad阅读的人普遍感到晚上睡意较少，且无法得到充足的睡眠。但他们在早上通常需要更多的时间完全清醒。 这些数字倒是其次。主要的发现是参与试验志愿者的主观认为与他们的真实感觉有所差异。据报告称，使用iPad阅读的人普遍感到晚上睡意较少，且无法得到充足的睡眠。他们通常需要更多的时间在第二天早上完全”清醒”。 事实上，亮度级别和褪黑激素水平之间的关联性（以及所导致的睡眠质量不同）此前早已公开阐述，那还有什么大惊小怪的呢？据研究人员发现，平板电脑显示屏无法发出足够的亮光，因而无法对最终的试验结果产生决定性影响。 报告背后的科学家表示，其实根本与光量无关，但与光的质量有关。iPad所集中发出的光谱短波—对于对光学知识一无所知的阅读者而言，就好比蓝绿色和彩虹蓝之间的差别难以辨别（450 nm波长）。此类亮度与常见环境光线有所不同，出于多方面原因，会对褪黑激素通路产生影响。 一些对此抱怀疑态度的人指出，实验室试验和真实生活肯定有些不同。我不相信所有人都会在每个晚上用iPad阅读4个小时，正好不多不少，然后在精确的固定时间上床睡觉。 你应该清楚的是，无论是iPad、现代电视机、智能手机和PC电脑使用的都是相类似的显示屏。当然对角线尺寸会有所不同，但光谱波长非常相似。所有此类显示屏的波长高峰都在450 nm，包括LCD显示屏和OLED显示器。 如果将一个普通人看电视、用笔记本电脑工作或日常使用移动设备的时间全部相加的话，这一数字可能让人大吃一惊–我们甚至还未将那些沉迷于电脑（电子）游戏的年轻一代加入统计。 没有人会因缺少睡眠而死亡，你说呢？事实上这一观点存在争议：仅在美国，每年就有因司机在驾车时睡觉而导致了25万起交通事故。 你会说，没有人会因为缺少睡眠而死亡，除了实验室小白鼠？但这一观点是存在争议的。 据美国睡眠医学会报告，仅在美国，每年就有因司机在驾车时睡觉而导致了25万起交通事故。《美国国家科学院院刊》（PNAS）的一名作者写道，那些经常上夜班的人，由于褪黑激素受到抑制，因此可能会提高患肿瘤的风险。 现在你清楚了这方面的相关数字，那到底如何才能获得更多睡眠呢？ 1.现在你清楚了这方面的相关数字，那到底如何才能获得更多睡眠呢？ 2.将背光亮度和色温调低（例如：将图片设为’暖色’）。如果对这些参数进行微调的话，可将蓝光强度降低6倍。同样还要确保对对比度也进行了微调以避免眼睛疲劳。 3.对于喜欢阅读电子书的人来说，试着读一些纸质书或采用被动屏幕的电子阅读器，此类电子阅读器通常反射光线而不是发出光线—例如，现在电子墨水阅读器的价格有所下降。 4.想一想自己家中所用的电灯泡。那些发出最自然且统一亮度光谱的灯泡一定是那种老式白炽灯。而节能的荧光灯和冷光LED灯可能发出不同的亮度，包括刺眼的光谱短波部分的高峰亮度。你可能会考虑使用LED背光红灯，里面不存在光谱的蓝光部分。 5.此外还有一种立竿见影的方法可缓解严重的失眠问题，那就是戴上特殊的橙色镜片眼镜，能够将光谱的蓝光部分彻底去掉。这一方法的实效性已得多大量科学研究的临床验证，比如，此类眼镜可以推荐给那些在计算机前熬夜工作的人使用。 如果戴上这样的眼镜让你眉毛上挑的话，只需加个箔盖即可。每次你需要被迫回答一个尴尬的问题时，就戴上它好了。

在某个愉快的周六晚上，我的一个朋友突然收到了一个银行通知短信，告知他的信用卡在希腊刷掉了550欧元…。”活见鬼…!”这是他当时所说的唯一一句话。我们通过一番讨论后，建议他马上打电话给银行将这张卡冻结，但远在希腊的坏家伙丝毫没有浪费时间：赶在我们前头又用这张卡刷掉了1200欧元。 这件事发生在6个月之前。这家银行—我并不想公开它的名字，但绝对是一家评价很高的银行—却拒绝承担任何损失。我的这个朋友不得不拿起了”法律武器”，因为他的妻子是一名律师且在这一领域拥有丰富的专业知识。最终，他们还是输掉了官司，法院裁决银行胜诉。 银行进行辩护的论据很简单：发生在希腊ATM机的交易使用了信用卡和正确的PIN码，因此足以授权交易。尽管合法持卡人当时正位于莫斯科郊外的证据确凿，但依然还不足以胜诉。 我们都清楚各种黑客和网络钓鱼小组以及其它”独行侠”不遗余力地想从我们的口袋里窃取资金和我们设备内的数据。但这个故事却不是关于互联网的。这些犯罪分子所用的磁条和PIN码证明这些犯罪活动都是在线下完成的。 很可能在我的朋友们前往保加利亚滑雪胜地的时候，这张信用卡已经被”劫持”了。他们那时在当地好几家饭店都使用了这张卡。饭店的服务员将这张卡拿走后，有大把计划通过扫描仪刷卡复制。偷看客人在POS终端机上输入密码并不太难；因为我们总是羞于在输入密码时盖住小键盘，怕被别人看作是有偏执狂的怪人。 但内置于芯片的加密措施又如何呢？一般来说，没有芯片就无法加密。银行通常认为发行带磁条的主卡更好，但从这个案例看出来，要复制这些卡可谓是小菜一碟，甚至是一些”小毛贼”都能做到。 "Five lessons I’ve learned from having my credit card hacked" https://t.co/TQHBbK0Oqw — Eugene Kaspersky (@e_kaspersky) November 13, 2014 第二个故事恰巧就发生在了我自己的身上。当时我和朋友和同事前往美国参加一个会议。期间，我们决定前往北加利福尼亚来一次短途旅行，那里可以看到温泉和水杉，徒步旅行同时呼吸一些新鲜空气。一到旧金山我们就租了一辆车直接驶往北加州。在经过一段令人疲劳的飞行旅途后，我们决定在当地的一座小镇小息片刻。 我将车停在离饭店几十米远的地方，并将我们的行李留在了后备箱（’有什么问题吗？毕竟在美国，几乎所有地方都很安全。’）。我们几个人来美国都不止一两次了，这正是我们如此懈于安全保护的”正当理由”。 半小时后，当我们酒足饭饱走出饭店的时候，发现车的玻璃窗被敲碎了，我们的旅行背包也不翼而飞。当然还包括一些贵重物品：笔记本电脑、照相机等等，其中还有护照。 令人震惊的事实：在莫斯科，我们没有人会将贵重物品留在车内，尤其是文件；每个人都知道这样做的危险性。 在检查了车子的损坏程度后，我们马上拨打了911报警，而电话那头的女接待员议我们在线进行报案（当然不可能再用笔记本上网了）。我们要求饭店给我们看监控录像（白费力），还四处查找（希望小偷会将”没有用”东西仍在附近）。之后，我们驶离小镇寻找附近的警区（晚上依然一无所获）。 我们甚至还努力拦下了一辆警车，向车内的警察诉说了我们的遭遇，但他们只是表达了同情但仍然表示爱莫能助，因为这一区非常危险，此类犯罪事件每天都有发生。完全可以想象第二天回到旧金山时有很多麻烦的事情等着我们，首先必须去领事馆补办必要的文件，如此才能回俄罗斯。

技术发展在某种程度上不是我们所能预测或预知的。接受这一事实，然后让我们一起穿越时光机回到上世纪60年代。在那个年代科幻小说的情节中，21世纪的机器人可以帮助人们做各种家务。在过了半个世纪以后的今天，这一科学幻想已然成为现实，我们的确拥有了家用机器人-但上世纪60年代的科幻小说作者很少有能辨认出21世纪版的机器人技术-小圆型的机器人真空吸尘器。尽管两者的理念非常相似–为人类减轻家务负担–但事实证明其相当单调且过于简单。 无人驾驶汽车可能注定要走相似的道路。我们通常所设想的理念类似这样：早上驾车去上班的途中，一边看着早报一边吃着早餐，享受着早晨的美好时光。一天繁忙的工作结束后，我们很多人都会去酒吧与朋友小酌两杯，随后无人驾驶汽车将载着你直接回家。如此，即使小孩、老人和残障人士都能够享受到舒适的驾车体验。 此外，交通事故和交通堵塞情况也将大幅降低。自动驾车功能将在两车之间保持最短的安全距离，并有助于实现最高车流量效率。此外，”机器人”不像人一样会受到不同路况或美女的干扰；同样也不会在驾车时睡着和突然头痛。 #googlecar Google teaches ethics to driverless cars. Can they react better than humans? – Christian… http://t.co/hmM2grFZDA #TechNews — The Google Car (@thegooglecar) November 21, 2014 听起来相当诱人，不是吗？我们都非常急切地想知道这些理念设想对于普通驾车者是否能成真，对于这一急迫心情我们完全可以理解。 预测什么时候全自动化驾驶汽车能在大众市场实现商品化就如同彩票中奖一样。