时间:2015-10-21 03:03:13 来源: 复制分享
看看你包里的信用卡正面有没有芯片?不管有没有有,下次换的新卡一定会有,因为据央行规定,自2015年1月1日起,各银行将不再新发行磁条卡。淘汰磁条卡、全面使用芯片卡是全球金融机构的一件大事,理论上将让卡片支付变得更便捷、安全。在整体换代完成前,咱来聊聊IC卡的一些黑历史(当然这也不完全赖卡)。
5个大盗,7000笔交易,40张傀儡信用卡
据连线报道,几个不法分子在法国盗刷了60万欧元,嫌犯于20112012年先后落网,他们在信用卡上做的手脚旋即水落石出。他们用来盗刷的信用卡不但塑料外观几可乱真,特殊处理后的芯片还会把随意输入的密码认做正确密码。失去了主观意识的“傀儡信用卡”就是他们的核心科技。
一直以来,芯片+密码两步认证体系存在一些理论上的薄弱环节读卡器与芯片的信息交换。当买家插卡输密码的时候,读卡器会与芯片确认所输密码的正确性。聪明的小偷发现,只要拦截住这个请求,再代替原芯片回答读卡器不就行了?
他们还真做到了。动过手脚的芯片同样可以收到读卡器的“确认”请求,此时它会自动回复“正确”,无论输入的是什么数字。给这个流程打个比方:老师在课堂上提问,你小声说出了正确答案,结果坐第一排的二傻子站起来大声吼出了错误答案老师被他唬住了,也觉得对!
法国犯罪分子共盗取了40张信用卡,制作出40张傀儡卡,共进行了超过7000笔刷卡交易,购买了大量的彩票和香烟。几千笔交易出现后,盗刷地点的规律终于被发现,“他们总是在相同的地点作案,这就是他们的破绽。”
X光下看个清楚
早在2010年,剑桥大学的安全研究院也露过这么一手,只是手法要笨拙得多。同样的,学者们在原芯片背后贴了个芯片,垂帘听政截取读卡器请求。这个装置被放在一个盒子里,有一本圣经那么大,在盗刷时还要配合笔记本上的攻击软件使用。
由于卡片还要用作呈堂证供,鉴证组还不能对卡片进行破坏性拆解,只能在X光下粗粗窥见卡片的内部结构,证实了傀儡芯片的存在。鉴证人员随后反向破解了卡片在被读取时的计算活动,发现傀儡芯片的工作原理与剑桥大学的实验原理完全一致,只不过傀儡信用卡比当年的实验版本要精致得多只比真信用卡厚那么一丁点。
鉴证人员称:“(因为厚度略大于正常信用卡)把仿制卡塞进读卡器有点困难,但还不至于让人起疑心。”
剑桥大学五年前做完实验也把发现告知了国际芯片卡标准化组织(EMVco)和英国信用卡协会,但两个组织都没有把警示太当回事,剑桥如今可以昂首说出那句话:“早跟你说了,咋就不听劝呢?”剑桥大学在采访中表示,这种攻击是意料之中的,但对于盗用者的仿制手艺也是无比惊叹。
哪怕风险在,还是要换代
细思极恐之余,IC卡的换代脚步未曾停歇,全球各国在这事儿上还没少花钱,光是美国的发卡行就已经花了好几亿美金;我国2015的换卡量将达到8亿张,以10元一张的成本计算也是好几亿美金。巨量的投入来自全球金融机构的共识IC卡是更好的刷卡方案,《新浪财经》说它好在这里:
IC卡安全性高,卡内敏感数据难以被复制,而且IC卡不仅具有普通磁条银行卡所有的金融功能,还具备电子现金账户,支持脱机小额支付,可以使用非接触界面,实现即刷即走的快速支付和智能卡手机支付。
新卡自有新人盗,把卡揣好是正道。
微信搜索“IT之家”关注抢6s大礼!下载IT之家客户端(戳这里)也可参与评论抽楼层大奖!