我们（以及其他许多网络安全博客）常常会写一些有关各种盗读技术和以其它方式窃取银行卡的文章。今天，我们将讨论那些表面看上去并不危险，但却的的确确存在却被大多数银行卡用户所忽视的风险。我们即将讲述的故事是有关跨境支付的风险以及在支付系统内所发现的内在缺陷。 无需CVV代码的支付交易 许多人总认为必须输入CVV代码（印在信用卡背面的三位数字）才能完成在线交易。然而，有些网店却能跳过这一步骤，且无需将密码传送至支付网关。 就这一问题我们询问了DiaSoft商务拓展部研发主管Sergey Dobrinyuk，他是这样评论道的：”要完成在线交易通常需要提交这些认证信息：卡号、有效日期、印刻在卡上的持卡人姓名以及印在卡反面的CVV代码。” “凹凸印字卡片（持卡人姓名的字母在卡表面凸起显示）在在线支付时使用得更加频繁，且通常来说这些卡的级别较高，比如：VISA经典卡和VISA金卡等。发卡行则会对客户的身份和购买力进行核实和评估。这也是为什么在交易金额不大的时候，如果能确定是”高品质”买家的话，卖家可能只会验证卡号的真实性而跳过授权认证这一环节。” “这就是所谓的’免授权限额’。一些银行和网店的免授权限额最高可达1000美元。” Dobrinyuk说道。 据有关专家称，一些新兴市场的 “高品质”客户并非都能享受到如此的优待，而通常来说支付系统也会部署更多的安全等级，但目前还不存在共享的银行卡认证信息政策—每一家网店完全可以制定自己的规则。 “所有无需PIN码或3D Secure验证的远程交易都可能受到用户的质疑。如果你对交易的合法性抱有疑问的话，完全可以向银行申请退款，在银行调查清楚后便会将这笔钱退回到你的账户。” Dobrinyuk说道。 Dobrinyuk建议网购用户只在那些拥有3D Secure标准（VISA卡和万事达卡分别对应”Verified by Visa”和”SecureCode”）的网店进行在线交易—作为一种双重认证方式，交易时必须输入通过短信发送或打印在ATM凭条上的一次性密码。 不幸的是，网店完全能自行决定是否需要在其支付系统内部署额外的安全等级。就算你的信用卡受到3D Secure的保护，但网店依然可能跳过这一步骤。 使用虚拟信用卡也有助于提升安全保护等级。此类信用卡通常有效期很短，且所涉金额较小。即使遭受黑客入侵，主卡的支付认证信息也不会被泄露。 正如你所知的，将你的信用卡卡号告知他人并不是一个好主意。如果有网络犯罪分子引诱你透露持卡人姓名和卡有效期，那他很有可能就能从你的账户内窃取资金—就算没有CVV代码也完全可行。好消息是此类情况你可以向银行申请退款。但也有坏消息，就是你需要自己甄别欺诈交易并行动迅速。 仅限电子联机交易 对于VISA电子信用卡和其它采用各种不同支付系统的入门级信用卡产品，人们都有一个共同的误区。此类信用卡没有印刻任何信息但在卡正面却印有免责声明：”ELECTRONIC USE ONLY（仅限电子联机交易）”。 许多人都误认为这样的卡无法用于在线交易，但事实上这完全由发卡行决定。支付系统政策根本无法限制此类卡的在线交易。 简单地说：网络骗子同样能从入门级信用卡内窃取资金。 跨境支付 由于汇率的波动，持卡人在进行跨境在线支付和境外取款时总会遇到这样或那样的问题。其中主要的风险之一便是对持卡人不利的汇率波动。 “此类情况下可能最多需要进行4次汇率换算：从电子商务平台终端、收款行、支付系统最后到发卡行”。Dobrinyuk提醒说道。 … Continue reading 银行卡：安全隐患无处不在