银行卡

近几年，全球银行业花费了大量的时间、精力和资金来保护银行卡的安全。过去往往采取卡片凸起数字和签名栏的安全保护手段，而如今智能芯片和一次性密码则成为了保护账户免遭犯罪分子攻击的最新方法。

“您总共消费了12.95美元。”一家当地超市的收银员说道。我取出钱包，熟练地在POS机终端上轻轻一扫，很快就听到了哔的一声 – 瞧！–交易成功了！ 免触式银行卡实在是太方便了。有了它，你再也不需要刷卡、记住PIN码和用笔签字，而且也不需要费力地掏出钱包、寻找现金或者从口袋的深处摸索硬币。只需一扫–即可轻松完成支付。 收银员同样也乐意使用免触支付方式：不仅加快了付款流程速度，同时还提高了收银员的顾客处理量，而这正是公认的所有零售过程的瓶颈。 然而，其易用性也让人们不禁怀疑起自己卡内的资金是否也同样容易被盗走。犯罪分子是否会暗中用读卡器对你的口袋轻轻一扫，就将你存在卡内的所有资金偷个干净？ 为了查明真相，我研究了大量来自黑客会议的报告并和许多银行代表就这一问题进行探讨。他们的反馈无一例外都相当积极和正面，但并非表示毫无缺陷。 范围 免触式卡采用近场通信（一种基于无线射频识别的技术）方式运行。卡内集成有微型芯片和天线，使用13.56 MHz频率范围，可对POS机终端的请求进行回应。不同支付系统使用各自的标准，包括：维萨的payWave、万事达的PayPass和美国运通的ExpressPay等。但所有这些系统均采用了相同的方法及核心技术。 NFC的数据传输距离极短–不足一英寸。因此，你完全可以自己筑牢第一道安全防线。基本上来说，需要将读卡器和卡片凑得非常非常近才有可能扫描到，因此要想使用读卡器暗中扫卡的难度可谓相当之高。 同时，商家也可以安装专门定制的读卡器，可使扫描的距离更长。例如，来自萨里大学的研究人员就展示了一种紧凑型扫描器，能在80厘米的距离内读取NFC数据。 此类装置可向广泛运用于公共交通、商铺、机场和其它’人群聚集’场所的免触卡发送请求。在许多国家，NFC兼容卡可谓相当普及。因此在人流聚集的地方，许多人都可能会成为犯罪分子实施NFC攻击的受害人。 最终，即使在没有定制扫描器或近距离接触的情况下，免触卡使用者也可能会遭受资金莫名被盗的损失。西班牙黑客Ricardo Rodrigues和Jose Villa发明了一种简便的’消除距离障碍’方法，并在Hack in the Box大会上进行了演示。 图像来源: Practical Experiences on NFC Relay Attacks with Android 如今绝大多数的智能手机均配备有NFC组件，且手机通常都放在离钱包很近的地方–比方说，手提袋或口袋内。Rodrigues和Villa设计出一种安卓木马病毒概念，能将目标智能手机信号转到一种类似于NFC转调器的装置上。 一旦受感染手机放在和免触卡很近的位置，就可能发出向网络攻击者执行交易的信号。骗子随后激活常规的POS机终端，然后将启用NFC的智能手机靠近终端。如此，在没有真正扫卡的情况下，类似于’桥’的一种连接在NFC和NFC终端之间建立。

我们（以及其他许多网络安全博客）常常会写一些有关各种盗读技术和以其它方式窃取银行卡的文章。今天，我们将讨论那些表面看上去并不危险，但却的的确确存在却被大多数银行卡用户所忽视的风险。我们即将讲述的故事是有关跨境支付的风险以及在支付系统内所发现的内在缺陷。 无需CVV代码的支付交易 许多人总认为必须输入CVV代码（印在信用卡背面的三位数字）才能完成在线交易。然而，有些网店却能跳过这一步骤，且无需将密码传送至支付网关。 就这一问题我们询问了DiaSoft商务拓展部研发主管Sergey Dobrinyuk，他是这样评论道的：”要完成在线交易通常需要提交这些认证信息：卡号、有效日期、印刻在卡上的持卡人姓名以及印在卡反面的CVV代码。” “凹凸印字卡片（持卡人姓名的字母在卡表面凸起显示）在在线支付时使用得更加频繁，且通常来说这些卡的级别较高，比如：VISA经典卡和VISA金卡等。发卡行则会对客户的身份和购买力进行核实和评估。这也是为什么在交易金额不大的时候，如果能确定是”高品质”买家的话，卖家可能只会验证卡号的真实性而跳过授权认证这一环节。” “这就是所谓的’免授权限额’。一些银行和网店的免授权限额最高可达1000美元。” Dobrinyuk说道。 据有关专家称，一些新兴市场的 “高品质”客户并非都能享受到如此的优待，而通常来说支付系统也会部署更多的安全等级，但目前还不存在共享的银行卡认证信息政策—每一家网店完全可以制定自己的规则。 “所有无需PIN码或3D Secure验证的远程交易都可能受到用户的质疑。如果你对交易的合法性抱有疑问的话，完全可以向银行申请退款，在银行调查清楚后便会将这笔钱退回到你的账户。” Dobrinyuk说道。 Dobrinyuk建议网购用户只在那些拥有3D Secure标准（VISA卡和万事达卡分别对应”Verified by Visa”和”SecureCode”）的网店进行在线交易—作为一种双重认证方式，交易时必须输入通过短信发送或打印在ATM凭条上的一次性密码。 不幸的是，网店完全能自行决定是否需要在其支付系统内部署额外的安全等级。就算你的信用卡受到3D Secure的保护，但网店依然可能跳过这一步骤。 使用虚拟信用卡也有助于提升安全保护等级。此类信用卡通常有效期很短，且所涉金额较小。即使遭受黑客入侵，主卡的支付认证信息也不会被泄露。 正如你所知的，将你的信用卡卡号告知他人并不是一个好主意。如果有网络犯罪分子引诱你透露持卡人姓名和卡有效期，那他很有可能就能从你的账户内窃取资金—就算没有CVV代码也完全可行。好消息是此类情况你可以向银行申请退款。但也有坏消息，就是你需要自己甄别欺诈交易并行动迅速。 仅限电子联机交易 对于VISA电子信用卡和其它采用各种不同支付系统的入门级信用卡产品，人们都有一个共同的误区。此类信用卡没有印刻任何信息但在卡正面却印有免责声明：”ELECTRONIC USE ONLY（仅限电子联机交易）”。 许多人都误认为这样的卡无法用于在线交易，但事实上这完全由发卡行决定。支付系统政策根本无法限制此类卡的在线交易。 简单地说：网络骗子同样能从入门级信用卡内窃取资金。 跨境支付 由于汇率的波动，持卡人在进行跨境在线支付和境外取款时总会遇到这样或那样的问题。其中主要的风险之一便是对持卡人不利的汇率波动。 “此类情况下可能最多需要进行4次汇率换算：从电子商务平台终端、收款行、支付系统最后到发卡行”。Dobrinyuk提醒说道。