信用卡

近几年，全球银行业花费了大量的时间、精力和资金来保护银行卡的安全。过去往往采取卡片凸起数字和签名栏的安全保护手段，而如今智能芯片和一次性密码则成为了保护账户免遭犯罪分子攻击的最新方法。

我们（以及其他许多网络安全博客）常常会写一些有关各种盗读技术和以其它方式窃取银行卡的文章。今天，我们将讨论那些表面看上去并不危险，但却的的确确存在却被大多数银行卡用户所忽视的风险。我们即将讲述的故事是有关跨境支付的风险以及在支付系统内所发现的内在缺陷。 无需CVV代码的支付交易 许多人总认为必须输入CVV代码（印在信用卡背面的三位数字）才能完成在线交易。然而，有些网店却能跳过这一步骤，且无需将密码传送至支付网关。 就这一问题我们询问了DiaSoft商务拓展部研发主管Sergey Dobrinyuk，他是这样评论道的：”要完成在线交易通常需要提交这些认证信息：卡号、有效日期、印刻在卡上的持卡人姓名以及印在卡反面的CVV代码。” “凹凸印字卡片（持卡人姓名的字母在卡表面凸起显示）在在线支付时使用得更加频繁，且通常来说这些卡的级别较高，比如：VISA经典卡和VISA金卡等。发卡行则会对客户的身份和购买力进行核实和评估。这也是为什么在交易金额不大的时候，如果能确定是”高品质”买家的话，卖家可能只会验证卡号的真实性而跳过授权认证这一环节。” “这就是所谓的’免授权限额’。一些银行和网店的免授权限额最高可达1000美元。” Dobrinyuk说道。 据有关专家称，一些新兴市场的 “高品质”客户并非都能享受到如此的优待，而通常来说支付系统也会部署更多的安全等级，但目前还不存在共享的银行卡认证信息政策—每一家网店完全可以制定自己的规则。 “所有无需PIN码或3D Secure验证的远程交易都可能受到用户的质疑。如果你对交易的合法性抱有疑问的话，完全可以向银行申请退款，在银行调查清楚后便会将这笔钱退回到你的账户。” Dobrinyuk说道。 Dobrinyuk建议网购用户只在那些拥有3D Secure标准（VISA卡和万事达卡分别对应”Verified by Visa”和”SecureCode”）的网店进行在线交易—作为一种双重认证方式，交易时必须输入通过短信发送或打印在ATM凭条上的一次性密码。 不幸的是，网店完全能自行决定是否需要在其支付系统内部署额外的安全等级。就算你的信用卡受到3D Secure的保护，但网店依然可能跳过这一步骤。 使用虚拟信用卡也有助于提升安全保护等级。此类信用卡通常有效期很短，且所涉金额较小。即使遭受黑客入侵，主卡的支付认证信息也不会被泄露。 正如你所知的，将你的信用卡卡号告知他人并不是一个好主意。如果有网络犯罪分子引诱你透露持卡人姓名和卡有效期，那他很有可能就能从你的账户内窃取资金—就算没有CVV代码也完全可行。好消息是此类情况你可以向银行申请退款。但也有坏消息，就是你需要自己甄别欺诈交易并行动迅速。 仅限电子联机交易 对于VISA电子信用卡和其它采用各种不同支付系统的入门级信用卡产品，人们都有一个共同的误区。此类信用卡没有印刻任何信息但在卡正面却印有免责声明：”ELECTRONIC USE ONLY（仅限电子联机交易）”。 许多人都误认为这样的卡无法用于在线交易，但事实上这完全由发卡行决定。支付系统政策根本无法限制此类卡的在线交易。 简单地说：网络骗子同样能从入门级信用卡内窃取资金。 跨境支付 由于汇率的波动，持卡人在进行跨境在线支付和境外取款时总会遇到这样或那样的问题。其中主要的风险之一便是对持卡人不利的汇率波动。 “此类情况下可能最多需要进行4次汇率换算：从电子商务平台终端、收款行、支付系统最后到发卡行”。Dobrinyuk提醒说道。

在我们最近的一篇博文《银行卡欺诈：针对ATM机的犯罪活动》中，我们介绍了”盗读者”们如何通过其独特的犯罪手段轻松窃取我们的卡内资金。这一犯罪活动之所以依然猖獗的主要原因是：银行仍然使用的是上世纪70年代的银行卡安全系统技术。卡内磁条上的数据以’纯文本’的形式编写，而PIN码只是一段很短的安全数字，因此非常容易被盗。而最关键的问题是，这是唯一保护您银行账户的安全措施。 毋庸置疑的是，金融业每天都因各种欺诈活动而遭受巨额的资金损失，因而他们正不遗余力地部署更为先进的交易安全技术。 到目前为止，最成功的技术非启用芯片的银行卡（或被称为EMV卡）技术莫属。随着欧洲和加拿大大范围采用这一技术，这些地区和国家的复制卡犯罪案数量得以大幅下降。使用读卡器的”盗读者”们不得不转战EMV卡还未普及使用的美国和亚洲地区，以寻求作案机会。 然而，先进的EMV系统可能会对银行卡保护起到一定作用，但并非是理想选择也无法保护任何所能想象到的威胁—假设盗读技术依然不断得到发展和进步。在不久的将来，最大的可能性是我们使用不同类型的银行卡。 那未来到底会有哪些类型的银行卡呢？让我们共同一探究竟。 密码和回答 最先想到的解决方案是再加一层安全保护—比如广泛运用于互联网的双重认证方法。 当在线支付时，除了银行卡背面的CVV2安全代码以外，持卡人还需输入随即生成的密码：以短信形式发送到手机的、ATM打印的或由银行授权硬件工具生成的代码。如果涉及金额很大的话，双重认证还可以被用于离线交易。 带集成显示屏的银行卡就部署了类似的认证方法。此类情况下，常规信用卡也可配备内置微型计算机（包括LCD显示屏和数字键盘）。除了生成一次性密码以外，还可显示账户余额和历史交易记录等内容。 尽管首张交互式银行卡早在5年多前就已问世，但仅有欧洲、美国和亚洲发达国家的特定几家银行可向客户提供。 按需”生成”磁条 一家美国公司Dynamics研究出了一项更为奇特的解决方案。就表面意思来说，该卡内的确没有固定的磁条。所谓的”磁条”由该卡内的硬件按需动态生成，而用户首先需要通过卡上集成键盘输入密码。 如果你碰巧忘记了密码，则磁条将无法生成，造成交易也无法进行。此外，该卡也没有通常的16位数卡号：一部分位数并未直接印刻在塑料卡片上，而在输入密码后显示在卡上的微型显示屏上。 指纹确认交易 密码可能是保护自己银行卡的强大武器，但对于健忘且无法保密的人而言几乎毫无用处。我们都听说过这样的故事：”聪明过头”持卡人将PIN码写在卡片上，随后就连卡一起丢失了。 基于生物统计的验证方法可以彻底解决这一问题。一家总部位于挪威的公司Zwipe与万事达卡合作，目前正在试验以确定在信用卡上集成指纹扫描器的可能。一旦成功推广的话，以后确认交易只需将手指按在卡上接触片即可确认交易。 量子技术将大有可为 尽管已研究了数十载，但完全可操作量子计算机仍然遥不可及。但希望依然存在：量子技术的某些功能可用来创建无法伪造的标识符。 来自屯特大学和埃因霍芬理工大学的荷兰研究人员计划将基于量子的安全系统理念运用于信用卡和个人证件上。尽管这项技术依然停留在实验室试验阶段，但基于量子的安全系统的模型目前正在开发之中并有了正式的名字-量子安全认证（QSA）。 一张普通塑料卡片的一小部分涂有一层非常薄的氧化锌（又称”锌白）。随后再小心地对该部分进行激光光子扫射。当射到纳米粒子时，光子会在氧化锌层内部随意反射。这一过程能够改变粒子层的光学性质，进而形成一个独一无二的秘钥。 任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态，并导致攻击者的整个入侵过程以失败而告终。 如果有人对此类银行卡发射一系列激光脉冲（例如：’提问’），他们会收到一个确定的反射模式（例如：’回答’）。独一无二的’提问-回答’组合包被保存在银行数据系统内，并被用于验证秘钥。 犯罪分子将无法在交易过程中拦截提问-回答组合包。任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态，并导致攻击者的整个入侵过程以失败而告终。 无论采用何种方式入侵该安全系统，伪造的银行卡必须大小完全一样，此外也必须满足位置和纳米粒子其它参数上的一致，如此才能保持和原卡的精确一致。但由于工艺实在过于复杂因此在实际操作中根本不可行。 QSA开发人员表示，尽管这一技术理念看似复杂，但完全可以利用现有的技术和方法，因此要部署这一技术相对简单且价格低廉。 快中有慢 银行立刻部署上述安全系统的可能性很小。金融业通常都相当保守，且真正大规模部署该项新技术需要耗费巨额成本。 考虑到这一点，我们相当确定支付方法创新将首先出现在非银行类的服务中：例如，类似于已为人们熟知的Apple Pay或Google Wallet的新支付系统；或像Coin、Wocket和Plastc这样前途光明的”黑马”（我们将在以后与您分享有关它们的故事）。

在本系列的第一部分，我们探讨了银行卡’盗读者’所使用的犯罪技术。今天，我们将为您讲述此类犯罪案件的另一部分内容，即这些犯罪分子是如何实施危险性最高的盗读过程。 外包盗读过程 对于大多数’盗读者’而言，根本无需掌握太多专业的犯罪技术。然而，有些操作–包括硬件安装过程–危险性极高。有时候，这些高危工作就外包给了所谓的’业内专家’。 一名技术娴熟的”专业人员”只需要30秒钟左右的时间就能安装完成一部盗读设备。除此之外，还需要完成多个步骤的前期准备和情报收集工作，包括：现场环境和监视摄像机的分析以及确定人最少的时段—所有这些工作都少不了长期在目标附近蹲点的同谋犯。 熟练安装工所安装的盗读器很难被拆除。头脑冷静、衣着考究的绅士只需声称在ATM机上看到了一些可疑的东西并只是想在报警之前确认一下，就能将自己的罪行洗脱得一干二净。此类犯罪行为难以被证实，尤其是在犯罪分子将黏胶和安装的盗读器清除以后。这也是为什么银行方面建议用户不要去触碰任何可疑的东西，而应直接报警的原因。 除了ATM机以外，”盗读者”感兴趣的目标还有其它接受银行卡的终端类型。这些终端包括：加油站和火车站的自动售货机–以及其它各种类型的自动售货机。相比于ATM机而言，普通人对于此类机器的戒心较少，且安全保护等级也更低。 “收割”犯罪活动 一旦盗读硬件安装完毕，犯罪分子就能实施第二阶段的”欺诈”工作–’收割’。他们利用欺诈行为还未被发现前的这段时间疯狂地复制尽可能多的银行卡：只要银行发现了这一盗读犯罪活动，”被收割”银行卡持卡人阻止他们的几率将更高。为了观察现场状况，”盗读者”的同谋犯必须在目标ATM机对面的车内或咖啡厅内长期蹲点。 如果一直没人发现ATM机有异样，欺诈活动将一直进行下去直到电池耗尽，从而盗取上千个银行卡认证信息。 如果一直没人发现ATM机有异样且银行安保也毫无察觉的话，欺诈活动将一直进行下去直到电池耗尽，从而盗取上千个银行卡认证信息。 最贪心的犯罪分子会去拆除设备以便用于下次犯罪活动，但最聪明的”盗读者”则会直接将设备遗弃，为的是最大降低被捕风险。从被盗卡所赚取的所有利润可能有数千美元之多，这足以弥补任何设备的损失。 从复制的银行卡内取款也是一种独立的高风险犯罪行为–因此这一部分的工作也常常被外包出去。一般来说，”钱骡”被雇佣来完成这一部分的工作。 有时候”钱骡”只是简单地将取出的现金交给专业化的”盗读者”，按之前商定好的比例抽取佣金。但也有一些”钱骡”会主动购买被盗磁条数据，但这是另一回事了。 过于原始的技术 从银行卡内窃取现金之所以如此轻而易举，主要得益于银行卡的安全技术过于原始。基于磁条的银行卡最早出现在几个世纪以前，而在上个世纪中叶，专门窃取和复制银行卡认证信息还闻所未闻。 从银行卡内窃取现金之所以如此轻而易举，主要得益于银行卡的安全技术过于原始。 记录在磁条上的数据缺乏足够的保护措施，只有一条相当短且易受攻击的PIN码用来进行交易验证。在发明磁条技术后还出现了几种加强的保护技术，但却并非是每一张银行卡的标配。 不用说，支付系统和银行已花费了数年的时间来开发一种针对该问题的解决方案。在过去的20年内，欧洲越来越多采用同时配备磁条和集成芯片的EMV银行卡。 两者之间的差别是芯片无法像磁条那样能被复制。在使用EMV银行卡取现时，ATM机会要求卡内芯片创建一个独一无二的一次性密钥，虽然也可能会被盗走，但却无法用于另一笔交易。 尽管安全研究人员已报告了大量存在于EMV银行卡内的漏洞，但在实际操作起来却是另一回事。虽然这一技术进步可能会彻底打垮”盗读者”的犯罪活动，但依然需要一段过程：全部采用EMV银行卡将是一个长期、复杂且代价高昂的过程，并需要相关各方的参与。 所有相关各方都必须参与其中，共同协作：支付系统、银行、购方企业、POS终端生产商以及其他各方。这也是为什么如此多的国家（包括发达市场）依然使用陈旧的非EMV银行卡的原因。 即便如此，基于EMV的银行卡也有可能被盗读。但为了与旧式终端反向兼容和提高适应力，可能必须是基于磁条数据（而非芯片）才能完成交易。 据欧洲ATM机安全团队报告，尽管EMV程序正在全美范围开发，但”盗读者”依然十分猖獗。亚洲的印度尼西亚和泰国，欧洲的保加利亚和罗马尼亚也成为这方面风险最高的国家。 有关如何避免成为#ATM#机盗读者受害人的10条简单的#安全小贴士# 银行可能会赔偿被盗读者所窃取的资金，尤其是当责任被转移到了另一方–可以是支付系统、ATM机所有人或保险公司。但大多数情况下，被盗读卡持有人将不得不自己买单，这方面已有大量的案例佐证。 规避法则 不存在万无一失的方法能100%保证你的银行卡不会被ATM机盗读者所利用，但我们可以为你提供一些简单的安全小贴士以规避此类风险。 1.如果你的银行卡没有集成EMV芯片，则应完全弃用。你可以要求银行为你更换EMV银行卡。即便使用芯片集成的银行卡也无法保证100%的安全，但依然能规避大部分的风险。 2.启用短信通知功能来更好地追踪交易。你越早发现被盗刷的证据，则追回损失资金的可能性越高。 3.如果你不是经常外出旅行或出差，询问银行是否能够限制异地交易（当你需要出国时，可以将交易权限限制在目的地国境内）。这是一种非常有效的方法，在欧洲多国已得到验证。

我们都知道需要小心提防扒手。尽管早期儿童教育并没有教给孩子如何在外面时盯紧自己口袋，但生活的经历教会了他们这些简单的道理。同样的道理也适用于网络黑客。如今，互联网上铺天盖地有关网络黑客活动的报道，即使是儿童也略知一二。 但有关”盗读者”的新闻却鲜有报道，因此很容易让你不知不觉地落入此类网络犯罪活动的圈套。这些盗读者借助安装在ATM机上的微型隐秘硬件，专门从事盗取银行卡认证信息的犯罪活动。尽管警察、银行和支付系统都付出了巨大努力，但银行卡账户的盗窃金额依然呈上升趋势。 盗读者有点像扒手（都使用类似的手上技巧），在某种程度上也有点像网络黑客–他们所从事的犯罪活动完全依赖于一些高科技和PC电脑技术。 只要你使用ATM机提款就有可能成为他们的攻击目标。一旦你的银行卡内没有内置芯片，你的处境将十分危险：无芯片银行卡被盗读的风险要高得多。如果你没有订阅银行短信通知、将自己的银行卡随意插入街上看的任何ATM机以及将取现PIN码到处公开的话，这些都会让你成为盗读犯罪受害人的可能性更高。而你的这些愚蠢行为将让盗读者们暗自窃喜。 事实是，近些年来此类违法活动案件与日俱增，且所用技术不断进步。但犯罪原理仍然缺乏新意：使用隐秘技术读取银行卡磁条内数据，偷偷记录PIN码，将卡复制后清空该银行卡账户内的所有资金。然而，数据盗窃的技术却已突飞猛进。 完全商业化 以前，有一些盗读者还会将自制的银行卡读卡器和粗制滥造的硬件用在ATM机加钞盒上，冒着当场被抓的风险手动提取数据。但这样的时代早已过去了。随着这个”行业”的不断发展，动手自制工具的盗读者也已不复存在。如今，银行卡盗读变成了一项组织精良且高度自动化的犯罪活动。 这一犯罪链的第一环是现成硬件解决方案（由大量可用部件制作而成）的制造者和销售者。所有交易均在网上进行，并通过快递送到买家手中–对于犯罪分子而言这是最安全的方法。 想要验证盗读硬件是否真如想象得那般流行，只需在任何一个搜索引擎中输入一个简单的求购信息。这一套工具包括：可从一张塑料卡片内提取数据的隐秘读卡器、一块能够获取PIN码的伪造面板以及附带相应功能的复制卡设备，所有这一套售价通常在1500-2000美元之间。而信息科学专家Brian Krebbs估计这样一套工具在几年前的售价高达1万美元。 盗读工具的买家并不需要是精通技术的专业黑客：这些工具通常都会附带详细的操作手册，有些手册甚至还写有’最优方法’的内容。有些内容甚至详尽到列明了推荐使用的一次性电池型号，以确保读卡器能够电力充足，持续工作。 科技突飞猛进 技术进步加上巨大的需求，推动了用于违法活动的电子部件技术的飞速发展。一旦安全专家推荐采用何种特殊方法检查ATM机，那这种推荐的方法很快就会失效。 首先，经验丰富的犯罪提供商所出售的硬件几乎很难与ATM机原始部件区分。即使是再仔细的用户都无法分辨两者的区别：伪造的加钞盒无论是所用塑料的材质类型还是颜色都与合法的加钞盒一模一样。只是在形状上稍有不同。 之所以能如此逼真，是因为制造商精心仿制了大量广泛使用加钞盒模型（拥有众多客户的大型银行都使用这一模型）的ATM机元素。当然，银行本身也采用了反盗读技术作为应对方法。 其次，还有盗读者将读卡器手动放入加钞盒随后进入ATM机内部。这一新奇的小玩意引述自欧洲ATM安全团队（非营利性组织）近期所发表的报告中。更可怕的是，此类设备根本无需读取银行卡磁条—他们使用ATM机内的资源来读取。 手动提取数据也早已过时了。新型读卡器配备有通过普通蜂窝网络发送加密（你听的没错，盗读者也用这玩意！）磁条数据的GSM模块。 看好你的PIN码 一切准备就绪后，获取PIN码变成了最简单的一环。为了偷偷记录PIN码，犯罪分子只需使用微型隐秘摄像机甚至类似于iPod Touch（以细长Z高度和强劲电力而著称）这样的普通移动设备就能办到。 微型摄像机可以安装在ATM机按键上方或房间的其他位置。盗读者尤其钟情于银行用来摆放宣传资料的架子。作为银行的内部装饰，这些通常都被视为安全的。 然而，如果有取款人不小心用手挡住了镜头，则偷偷安装的微型摄像机将无法起到任何作用。此外所拍摄视频也无法很方便地发送和处理，并需要一些手动工作。 针对ATM机小键盘的细长伪造面板的价格正在变得越来越便宜，现在黑市的售价普遍低于1000欧元，这也造成此类犯罪案件数量的持续攀升。如此就算镜头被遮住–伪造面板也能检测你的PIN码。将4位PIN码通过短信发送至盗读者数据库相比处理一长段视频要容易许多，且整个过程几乎都是自动进行的。 当然，尽管盖在原始小键盘上的虚拟面板明显有凸起感，但几乎没有一个取款人会近距离检查键盘并仔细查看之间的缝隙。从上面看，整个结构看不出什么异常–伪造面板采用与原始ATM机键盘相同的钢材和优质涂漆。 此外盗读者还使用另一项技术，用来保护解码和复制的信息。这也是盗读者用防范其他竞争同行和执法人员的方法。 一旦密码错误，盗读软件将无法提醒用户输入PIN码错误–只是简单地关机了事。一旦这些错误密码交给警察，盗读者完全可以辩解说这个程序是一种无害的小软件。这样的手段真是”高明”… 而想要证明这是这是用于犯罪活动，执法人员必须聘请有资质的专家来分析这些代码，而这将使一个艰苦且旷日持久的过程。 依照上述所说的，科技只是犯罪案件的一部分。许多盗读操作依然采用的是手动方法，且风险极高。在接下来的博客中，我们将详细论此类案件中这一部分内容，同时还将为您提供一些安全小贴士以保护银行账户避免落入犯罪分子之手。

在某个愉快的周六晚上，我的一个朋友突然收到了一个银行通知短信，告知他的信用卡在希腊刷掉了550欧元…。”活见鬼…!”这是他当时所说的唯一一句话。我们通过一番讨论后，建议他马上打电话给银行将这张卡冻结，但远在希腊的坏家伙丝毫没有浪费时间：赶在我们前头又用这张卡刷掉了1200欧元。 这件事发生在6个月之前。这家银行—我并不想公开它的名字，但绝对是一家评价很高的银行—却拒绝承担任何损失。我的这个朋友不得不拿起了”法律武器”，因为他的妻子是一名律师且在这一领域拥有丰富的专业知识。最终，他们还是输掉了官司，法院裁决银行胜诉。 银行进行辩护的论据很简单：发生在希腊ATM机的交易使用了信用卡和正确的PIN码，因此足以授权交易。尽管合法持卡人当时正位于莫斯科郊外的证据确凿，但依然还不足以胜诉。 我们都清楚各种黑客和网络钓鱼小组以及其它”独行侠”不遗余力地想从我们的口袋里窃取资金和我们设备内的数据。但这个故事却不是关于互联网的。这些犯罪分子所用的磁条和PIN码证明这些犯罪活动都是在线下完成的。 很可能在我的朋友们前往保加利亚滑雪胜地的时候，这张信用卡已经被”劫持”了。他们那时在当地好几家饭店都使用了这张卡。饭店的服务员将这张卡拿走后，有大把计划通过扫描仪刷卡复制。偷看客人在POS终端机上输入密码并不太难；因为我们总是羞于在输入密码时盖住小键盘，怕被别人看作是有偏执狂的怪人。 但内置于芯片的加密措施又如何呢？一般来说，没有芯片就无法加密。银行通常认为发行带磁条的主卡更好，但从这个案例看出来，要复制这些卡可谓是小菜一碟，甚至是一些”小毛贼”都能做到。 "Five lessons I’ve learned from having my credit card hacked" https://t.co/TQHBbK0Oqw — Eugene Kaspersky (@e_kaspersky) November 13, 2014 第二个故事恰巧就发生在了我自己的身上。当时我和朋友和同事前往美国参加一个会议。期间，我们决定前往北加利福尼亚来一次短途旅行，那里可以看到温泉和水杉，徒步旅行同时呼吸一些新鲜空气。一到旧金山我们就租了一辆车直接驶往北加州。在经过一段令人疲劳的飞行旅途后，我们决定在当地的一座小镇小息片刻。 我将车停在离饭店几十米远的地方，并将我们的行李留在了后备箱（’有什么问题吗？毕竟在美国，几乎所有地方都很安全。’）。我们几个人来美国都不止一两次了，这正是我们如此懈于安全保护的”正当理由”。 半小时后，当我们酒足饭饱走出饭店的时候，发现车的玻璃窗被敲碎了，我们的旅行背包也不翼而飞。当然还包括一些贵重物品：笔记本电脑、照相机等等，其中还有护照。 令人震惊的事实：在莫斯科，我们没有人会将贵重物品留在车内，尤其是文件；每个人都知道这样做的危险性。 在检查了车子的损坏程度后，我们马上拨打了911报警，而电话那头的女接待员议我们在线进行报案（当然不可能再用笔记本上网了）。我们要求饭店给我们看监控录像（白费力），还四处查找（希望小偷会将”没有用”东西仍在附近）。之后，我们驶离小镇寻找附近的警区（晚上依然一无所获）。 我们甚至还努力拦下了一辆警车，向车内的警察诉说了我们的遭遇，但他们只是表达了同情但仍然表示爱莫能助，因为这一区非常危险，此类犯罪事件每天都有发生。完全可以想象第二天回到旧金山时有很多麻烦的事情等着我们，首先必须去领事馆补办必要的文件，如此才能回俄罗斯。

有一天早上，在我匆匆赶往公司的路上，突然发生了一件可怕的事情：我收到了一条来自银行的短信，提醒我有一张信用卡刷了80美元，但事实上我却从未从该信用卡刷过这笔钱。 我接下来做了什么呢？我立即锁住我的信用卡，并向发卡行提出索赔，之后获得了一张新卡。我必须说，最终所有问题都得到解决，而银行也退给了我这笔钱。主要原因是在于我的反应速度够快。然而，本篇文章的目的并非教会我们如何在信用卡遭受黑客入侵后做好善后工作，而是关于通过这件事我所学到的经验教训。 教训一：反应迅速是关键 这条法则在全世界适用：你越快做出反应并证明该笔交易是黑客入侵所导致，那你追回盗刷损失的几率也越大。为了成功追回损失，你需要尽快知道哪些交易被盗刷了，最好是通过短信通知的方式。 https://instagram.com/p/q4ZQmyv0Pf/ 每日定期通过电邮查看账户状态也是一种不错的方法。实在没有更好办法的情况下，仔细检查信用卡每月账单不得不说是最后的无奈之举。由于我启用了信用卡短信通知服务，因此得以在短短5分钟内锁住账户并在同一天向银行索偿存在问题的不明交易。 教訓二：灵活运用各种保险 每提升一个保护等级都能更有效地防范网络骗子实施黑客入侵，并最终尽可能减少你的损失。出于这个原因，你应对所有在线支付启用3D-Secure支付验证服务（MasterCard的安全码由Visa验证），并对所有网银工具采取两步认证法。同时，还应选择支持芯片和PIN码的终端并拒绝任何仅需刷卡和签名的交易。 仅在安全的Wi-Fi网络进行在线支付，并在自己的PC电脑上安装一款强大的反病毒解决方案。此外，给自己的信用卡上保险同样有用：此类产品可与信用卡一同激活。 What is two-factor authentication? Where should you use it? https://t.co/h78Cc3ivJ7 pic.twitter.com/3i9YyLdEpI — Eugene Kaspersky (@e_kaspersky) June 10, 2014 我本人就将以上各种防范措施和保险结合使用。或许有网络骗子此前曾尝试从我的信用卡上窃取资金，但我从未发现过，因为所有这些尝试都是徒劳无用的。 教训三：预防措施并非”万全之策” 不幸的是，网络骗子是否能够成功黑客入侵与他们能否绕过用户部署的所有安全措施有直接关联。这也是为什么上所述的所有防范措施都不足以完全保护你信用卡的安全。最容易造成资金损失的情形是从被网络骗子安装了欺诈软件的ATM机上取钱，或在一台受病毒感染的机器上进行在线支付。第一种情况下，网络犯罪分子会对你的信用卡凭证进行复制进而从你的账户取走现金。第二种情况下，他们将能盗用你的信用卡进行网购。

我们需要承认这样一个事实，并非所有举办的体育赛事都同样尽善尽美，其中不乏存在骗子和犯罪分子的情况。当来自全世界的球迷为了世界杯而共聚巴西时，这个国家愈发成为了信用卡诈骗的温床。除了大量的银行木马和诸如Boleto诈骗这样的巴西特有威胁外，信用卡也瞬时间成为了巴西网络犯罪分子的”宠儿”。 有关这一信用卡威胁的技术方面问题，在卡巴斯基实验室专家Fabio Assolini近期所发表的一篇文章内有详细说明，这里就不再一一累述了。今天，我将重点讲述两个有关巴西信用卡盗窃文化下受害者的故事。这两名受害者都是经验丰富的旅行家，对信用卡的使用一向谨慎，但最终还是逃脱不了成为犯罪分子手下的牺牲品。不得不吞下损失的苦果，破坏了在这一原本美丽富饶国家旅行的兴致。 我的一个朋友最近为我讲述了一个骇人听闻的有关信用卡的故事，这个朋友平时一向小心谨慎，但在一次成功的商业旅行后不幸还是降临到了他的头上。在圣保罗旅行期间，他处处小心提防，不轻易使用信用卡，但只有一次例外，就是在付酒店房费的时候。由于他所入住的是一家跨国知名酒店，因此我的朋友对其信赖有加。但不幸的是，就是这样一家大型酒店，其计算机系统依然难逃恶意软件的攻击，而他也因此损失了一大笔钱。 即使在一家信赖的商店或酒店付款，信用卡安全依然有可能受到威胁。 他的信用卡被克隆后，随即被不法分子用于购买飞机票、预订酒店甚至用来在星座网站上注册！总共被盗刷了2,000美元不到，但由于发卡行是一家拉丁美洲银行，其政策对客户的保护少之又少，我的朋友不得不自己为一些无法追回的有争议交易全额买单。 当外国游客来到巴西时，总会遇到这样或那样的困难和不利情况，比如根本无法想到会在巴西的一些跨国酒店、银行和饭店遭受信用卡诈骗。谢天谢地的是，我朋友所损失的金额与其他信用卡诈的骗恐怖故事相比，根本不值一提。 在我另一个熟人的故事中，他在巴西旅行的整个期间几乎紧盯着他的信用卡，没有出丝毫的差错。但就当在机场要离开巴西的时候，他决定买一件巴西国家队球衣。整个购买过程相当漫长，因为商店营业员不断表示信用卡总是拒绝支付，因此他们需要到里面房间的另一台机器上试试，但这一偶然技术问题背后的真相其实是他们在故意拖延时间，为在顾客视线以外的地方对信用卡进行克隆。顾客最终拿着卡卡的球衣心满意足地踏上了回国的飞机，但却不知犯罪分子已经盗取了他的信息，并成功用克隆的信用卡在巴西造了一座房子，甚至还修理了一部车，总共刷掉了3万美元。幸运的是，我这个熟人使用的是一家美国银行发行的信用卡，并支付了防诈骗保险的年费。得益于这家美国银行对客户有利的政策，他个人只需承担很少的损失。 巴西买来的T恤竟然花了3万美元。http://ow.ly/i/6dWaR 我确信在未来的数个月内，不断涌入巴西的狂热球迷身上将发生无数个类似的故事，而罪魁祸首则是巴西信用卡盗窃文化（未经核实）的散播。与其坐以待毙，每个计划前往巴西旅行的人不如想出一些积极主动的安全措施来应对。联系银行将你的磁条卡升级为芯片卡，只要有可能，申请临时的旅行信用卡，在旅行结束后即自动作废。最后，尽管携带大量现金会成为扒手和小偷的目标，但却可以有效避免上述案例的再次发生。 对于那些已从巴西返回的人来说，我的建议可能来得有些晚，但我依然奉劝议你仔细浏览一下信用卡账单，以防信用卡在巴西被不法分子盗刷或克隆。

有关最大型零售连锁店Target发生大规模数据泄露的报道，再加上一直耳闻的网上诈骗，你很可能会想，使用信用卡到底好不好。使用信用卡当然好！毕竟用卡比钱包里装很多现金要安全得多，而且目前在网上购物时也没有其他可行的替代办法 – 不管你是买手机应用也好还是买汽车也好，都得用卡付款。所以，虽然有安全隐患，但银行卡还是个好东西。只要想办法保证”虚拟钱包”不为窃贼大开方便之门就好。 选择合适的银行卡 在银行卡市场上，没有一种放之四海皆准的通用解决方案。目前市面上有美国运通卡（AmEx）、万事达卡（MasterCard）、Visa卡、银联以及许多本地支付体系。银行卡分为信用卡和借记卡，这两种卡在有些市场上有很大差异。针对各种不同场合，您可能需要使用两种、三种，甚至更多种卡 – 其中每种卡都有自己的一套安全措施。通常，信用卡在许多层面的安全性更高。银行用于核查信用卡交易的安全流程更严格。在许多国家，信用卡购物已投保，保护信用良好的持卡人绝不会因欺诈性交易而损失资金。此外，有些国家的犯罪分子坚决不用信用卡交易，因为被告发的风险太高。上述理由说明了信用卡更安全，但并不代表信用卡无懈可击，也没法保证用卡一定安全，所以不能光选择信用卡，而忽视其他所有安全措施。 信用卡的安全等级通常更高，所以犯罪分子往往避免利用信用卡作案。但防范措施并不是无懈可击的，不能就此忽视完善安全措施。 选择支付体系时，请考虑卡的计划用途。虽然有许多”全球性”银行系统，但目前只有万事达卡和Visa卡几乎能在所有国家通用，没有大片的未覆盖区域。对于欧洲人或频繁去欧洲出差的人来说，万事达卡可能是最好的选择，因为欧洲有些ATM机只接受万事达卡。但明显例外的地方是中国（当地法规严格，所以在中国最好是选择银联）和奥运城（奥运会举办期间，官方场馆只接受Visa卡）。更重要的是，万事达卡和Visa卡在技术和安全性方面遥遥领先。而且，它们能强制整个行业实施安全解决方案。 选择卡时应该深入了解的最重要事项是银行的利率和服务内容，同时还要考虑安全措施。请查看银行网站的”安全建议”部分，了解一些常规小贴士，比如”不要把卡交给陌生人”，除此之外，还能找到这家银行为客户提供的可用安全工具列表。下面列出了要留意的有用安全工具。 卡片安全工具 芯片卡。所谓的芯片卡（更正式的叫法是”EMV卡”）在欧洲各大银行的使用很普遍，但在美国、加拿大及其他一些地区还属于新兴事物。这种卡除了有磁条外还装有芯片，安全性更高，能阻止大多数盗取卡中数据进行克隆的行为（比如Target数据入侵、ATM机盗刷器及其他手段）。芯片卡仍兼容旧的读卡机（刷卡机），万事达卡和Visa卡要求最晚到2015年底必须全部采用芯片卡。各家支付体系威胁说，从2016年开始，对于因使用非EMV卡而发生的欺诈交易，他们不会负责赔偿。 芯片和PIN码。芯片为商家或银行读卡提供了更安全的新方法，但仍需要对持卡人进行认证。对于老卡，认证是通过签名来完成的，但商家通常并不会检查签名的真伪，所以通常很容易伪造。另一种方法是每次购物交易都要求输入4位PIN码，此方法目前已在ATM机上实施。这种方法和在凭条上签字一样快，但要安全得多。 更改PIN码。PIN码使用方便，但并不是标准功能；它允许客户把预定义的PIN码更改为更容易记住的PIN码。此外，有些银行不允许重新签发忘记了PIN码的卡。重要提示 – 避免使用简单的PIN码，比如生日或四位连续数字。 卡附照片。这种方法极为简单，是将持卡人的照片整合到卡设计中，但却能有效地防止被盗卡用于大型零售店。 即时通知。即时通知通常是通过短信发送，利用这种简单的功能，可以即时检查提款额是否正确。提款后几秒内就能收到短信，其中包含准确的交易描述和被扣总额，有助于发现欺诈收费和帐单错误。及时通知能让纠纷处理变得简单得多。 对用于网上支付的所有卡启用万事达卡安全码/Visa卡验证。#支付#安全性#小贴士 3D验证服务。此功能可提高网上交易的安全性。虽然各品牌有不同的叫法（Visa卡验证，万事达卡安全码，J/Secure，美国运通卡安全密钥等等），但本质上是一样的－银行和支付系统会向用户验证每笔网上交易。通常验证分成两步。第一步，在商家网站（或商家支付处理器网站）上输入信用卡详细信息；第二步是页面会重定向到用户所用银行的专用页面，在其中用户使用专用密码来确认购买。在某些实施的验证服务中，要求输入的只是辅助静态密码（没那么安全）；但最新实施的验证服务要求输入通过短信发送的的一次性密码（非常安全，能防止网络钓鱼）。强烈推荐为经常在网上使用的所有卡启用此功能。 虚拟卡。虚拟卡是应对网络诈骗的另一种方法，它仅限用于网络购物，因为这种卡并没有对应的实物存在。用户可以通过网银即时办卡。所办卡可以是与主卡关联的副卡，也可以是独立的卡。对于第一种情况，此卡只能购物一次，之后即被封锁。而第二种情况，卡通过网银进行管理，以平衡安全性与便利性。可能采用的安全措施包括设置支付限额（每天、每月、总计），定期重办卡（每月、每周甚至每天一次，具体根据实际需要），使卡的余额保持几近于零（每次购物前都必须人工给卡充值）。 NFC。近场通信（NFC）从严格意义上来说并不是一种安全措施，而是一种无线技术。提到运用了这种技术的万事达卡PayPass和Visa PayWave，可能更为人所知。这种技术支持两个设备之间通过短暂接触来交换信息。相对于常用的磁条和EMV芯片，NFC芯片超小，可内嵌在卡中。要使用NFC进行交易，必须用卡轻触终端；甚至卡装在钱包中也不影响使用。这就提高了卡的安全性，因为无需把卡递给任何人，甚至根本不用出示卡。忘了拿卡或把卡放错地方的机会也大大减少。但是，NFC在银行领域的应用相对较新，而且作为一种无线技术（虽然是几厘米的超近距离），可能很容易受尚未知的探测方案的影响。这就是为什么我们建议支持NFC的卡只用于金额不大的小型交易，事实证明在这些场合使用即时非接触式支付方式最方便，例如公交车、加油站、快餐店、停车场等。简单的安全规则现在，你已选好银行和卡类型，并采用了所有可能的安全措施。使用带芯片和PIN码的卡，再加上3D验证服务和短信通知功能，不管是网上支付还是线下交易，都能大幅提高资金安全性，但这些保护功能只有你在执行了其他一些简单的安全规则后才有效。 不要直接把信用卡给孩子或配偶用，请为他们办理副卡。#支付#安全性#小贴士 不要把卡给任何人。显而易见，在一些常见情况下，这条规则实际遵循起来相当困难。在餐厅用餐后需要将卡交给服务员，让对方拿到结帐台去刷卡；或者你可能会把卡借给其他对你很重要的人或者自己的孩子。为了避免可能发生的不当使用，请一定不要让卡离开自己的视线，比如随服务员一起去账台结帐。在国外用卡时这一点尤为重要。为了更方便家人使用信用卡，你可以为孩子和配偶办理副卡。 不要在不安全的场所用卡。最危险的地方是街上的ATM机或者其他管理较松的公共场所的ATM机。在这里很可能发生盗刷行为，即通过尝试记录卡片详细信息和PIN码，然后制作复制卡来盗取卡中资金。此外，最好不要在太小的店或设备老旧的地方用卡。 切勿透露PIN码。没人有权要求你提供PIN码－绝无例外。不要将PIN码写在纸上。如果担心忘记，可以在手机上使用专用密码管理器（请阅读我们对iOS和安卓应用的评论）。在ATM机或POS终端上输入PIN码时，请用另一只手挡住键盘。不要让任何人离你过近，看到输入的密码。如果怀疑PIN码以某种方式被盗，请立即向银行报告。 报告任何问题。一旦遇到任何问题，不管是卡丢失还是卡内资金被意外提取，请立即向银行报告。时间非常关键，因为骗子也会抢时间刷被盗卡。 确保网上支付安全。简而言之，计算机中应该没有任何恶意软件，网络应该安全，而且连接必须加密。此外，还得确保连接到的是网店或银行的真实服务器，而不是假冒服务器。这些规则实际手动实施起来有一定难度；这也是为什么会推出简单的”套装”解决方案来自动进行所有这些检查。这种解决方案命名为”Safe Money”，是卡巴斯基安全软件和卡巴斯基PURE中的一个附带组件。