我们都知道需要小心提防扒手。尽管早期儿童教育并没有教给孩子如何在外面时盯紧自己口袋，但生活的经历教会了他们这些简单的道理。同样的道理也适用于网络黑客。如今，互联网上铺天盖地有关网络黑客活动的报道，即使是儿童也略知一二。 但有关”盗读者”的新闻却鲜有报道，因此很容易让你不知不觉地落入此类网络犯罪活动的圈套。这些盗读者借助安装在ATM机上的微型隐秘硬件，专门从事盗取银行卡认证信息的犯罪活动。尽管警察、银行和支付系统都付出了巨大努力，但银行卡账户的盗窃金额依然呈上升趋势。 盗读者有点像扒手（都使用类似的手上技巧），在某种程度上也有点像网络黑客–他们所从事的犯罪活动完全依赖于一些高科技和PC电脑技术。 只要你使用ATM机提款就有可能成为他们的攻击目标。一旦你的银行卡内没有内置芯片，你的处境将十分危险：无芯片银行卡被盗读的风险要高得多。如果你没有订阅银行短信通知、将自己的银行卡随意插入街上看的任何ATM机以及将取现PIN码到处公开的话，这些都会让你成为盗读犯罪受害人的可能性更高。而你的这些愚蠢行为将让盗读者们暗自窃喜。 事实是，近些年来此类违法活动案件与日俱增，且所用技术不断进步。但犯罪原理仍然缺乏新意：使用隐秘技术读取银行卡磁条内数据，偷偷记录PIN码，将卡复制后清空该银行卡账户内的所有资金。然而，数据盗窃的技术却已突飞猛进。 完全商业化 以前，有一些盗读者还会将自制的银行卡读卡器和粗制滥造的硬件用在ATM机加钞盒上，冒着当场被抓的风险手动提取数据。但这样的时代早已过去了。随着这个”行业”的不断发展，动手自制工具的盗读者也已不复存在。如今，银行卡盗读变成了一项组织精良且高度自动化的犯罪活动。 这一犯罪链的第一环是现成硬件解决方案（由大量可用部件制作而成）的制造者和销售者。所有交易均在网上进行，并通过快递送到买家手中–对于犯罪分子而言这是最安全的方法。 想要验证盗读硬件是否真如想象得那般流行，只需在任何一个搜索引擎中输入一个简单的求购信息。这一套工具包括：可从一张塑料卡片内提取数据的隐秘读卡器、一块能够获取PIN码的伪造面板以及附带相应功能的复制卡设备，所有这一套售价通常在1500-2000美元之间。而信息科学专家Brian Krebbs估计这样一套工具在几年前的售价高达1万美元。 盗读工具的买家并不需要是精通技术的专业黑客：这些工具通常都会附带详细的操作手册，有些手册甚至还写有’最优方法’的内容。有些内容甚至详尽到列明了推荐使用的一次性电池型号，以确保读卡器能够电力充足，持续工作。 科技突飞猛进 技术进步加上巨大的需求，推动了用于违法活动的电子部件技术的飞速发展。一旦安全专家推荐采用何种特殊方法检查ATM机，那这种推荐的方法很快就会失效。 首先，经验丰富的犯罪提供商所出售的硬件几乎很难与ATM机原始部件区分。即使是再仔细的用户都无法分辨两者的区别：伪造的加钞盒无论是所用塑料的材质类型还是颜色都与合法的加钞盒一模一样。只是在形状上稍有不同。 之所以能如此逼真，是因为制造商精心仿制了大量广泛使用加钞盒模型（拥有众多客户的大型银行都使用这一模型）的ATM机元素。当然，银行本身也采用了反盗读技术作为应对方法。 其次，还有盗读者将读卡器手动放入加钞盒随后进入ATM机内部。这一新奇的小玩意引述自欧洲ATM安全团队（非营利性组织）近期所发表的报告中。更可怕的是，此类设备根本无需读取银行卡磁条—他们使用ATM机内的资源来读取。 手动提取数据也早已过时了。新型读卡器配备有通过普通蜂窝网络发送加密（你听的没错，盗读者也用这玩意！）磁条数据的GSM模块。 看好你的PIN码 一切准备就绪后，获取PIN码变成了最简单的一环。为了偷偷记录PIN码，犯罪分子只需使用微型隐秘摄像机甚至类似于iPod Touch（以细长Z高度和强劲电力而著称）这样的普通移动设备就能办到。 微型摄像机可以安装在ATM机按键上方或房间的其他位置。盗读者尤其钟情于银行用来摆放宣传资料的架子。作为银行的内部装饰，这些通常都被视为安全的。 然而，如果有取款人不小心用手挡住了镜头，则偷偷安装的微型摄像机将无法起到任何作用。此外所拍摄视频也无法很方便地发送和处理，并需要一些手动工作。 针对ATM机小键盘的细长伪造面板的价格正在变得越来越便宜，现在黑市的售价普遍低于1000欧元，这也造成此类犯罪案件数量的持续攀升。如此就算镜头被遮住–伪造面板也能检测你的PIN码。将4位PIN码通过短信发送至盗读者数据库相比处理一长段视频要容易许多，且整个过程几乎都是自动进行的。 当然，尽管盖在原始小键盘上的虚拟面板明显有凸起感，但几乎没有一个取款人会近距离检查键盘并仔细查看之间的缝隙。从上面看，整个结构看不出什么异常–伪造面板采用与原始ATM机键盘相同的钢材和优质涂漆。 此外盗读者还使用另一项技术，用来保护解码和复制的信息。这也是盗读者用防范其他竞争同行和执法人员的方法。 一旦密码错误，盗读软件将无法提醒用户输入PIN码错误–只是简单地关机了事。一旦这些错误密码交给警察，盗读者完全可以辩解说这个程序是一种无害的小软件。这样的手段真是”高明”… 而想要证明这是这是用于犯罪活动，执法人员必须聘请有资质的专家来分析这些代码，而这将使一个艰苦且旷日持久的过程。 依照上述所说的，科技只是犯罪案件的一部分。许多盗读操作依然采用的是手动方法，且风险极高。在接下来的博客中，我们将详细论此类案件中这一部分内容，同时还将为您提供一些安全小贴士以保护银行账户避免落入犯罪分子之手。