【中國(guó)安防展覽網(wǎng) 企業(yè)關(guān)注】 近幾天,一段ETC卡被盜刷的視頻在互聯(lián)網(wǎng)上傳播��,引發(fā)了各方的關(guān)注����。甚至引發(fā)了恐慌,筆者的ETC綁卡銀行人工服務(wù)根本無(wú)法打進(jìn)去����。各個(gè)銀行分別站隊(duì)澄清����,甚至交通運(yùn)輸部路網(wǎng)監(jiān)測(cè)與應(yīng)急處置中心也立即下發(fā)了《關(guān)于應(yīng)對(duì)ETC銀行聯(lián)名卡存在被盜刷風(fēng)險(xiǎn)的緊急通知》�����。
不安全的不僅僅是ETC 你需要擔(dān)心更多
近一段時(shí)間�����,特別是Apple Pay入華以后���,現(xiàn)在新辦理的銀行卡幾乎都支持閃付功能����,而且基本都是小額免密碼的�。當(dāng)閃付與ETC結(jié)合起來(lái),就有了我們看到的視頻�����。這次事件到底是怎么回事�?哪些卡會(huì)受到影響��?不安全的僅僅是ETC嗎?我們從信息安全的角度來(lái)做個(gè)解讀���。
一�、ETC盜刷的真相
ETC本身是交通部門(mén)為了節(jié)省人力����,方便車(chē)主開(kāi)發(fā)的。ETC本身是交通行業(yè)專(zhuān)用的密鑰體系���,通過(guò)空中接口來(lái)完成支付�。而用戶(hù)是要給ETC里面充值的��,這種卡除非破解了交通部門(mén)密鑰�,同時(shí)有交通部門(mén)空中接口的設(shè)備,否則是無(wú)法盜刷的�����,即使盜刷�����,刷的也是用戶(hù)存進(jìn)去的錢(qián)����,不會(huì)有太大危害�����。
但是ETC在推廣的時(shí)候逐漸發(fā)展出來(lái)其他模式����,一種是交通行業(yè)與銀行聯(lián)合發(fā)行���,客戶(hù)持有一張交通行業(yè)單用途ETC卡和一張銀行借記卡或貸記卡��,車(chē)輛上使用的ETC卡不具備金融功能���,僅僅用來(lái)記賬,卡的支付通過(guò)關(guān)聯(lián)的借記卡或者貸記卡�����,信用卡完成���。這一種也需要空中接口�����,需要交通部門(mén)設(shè)備�����。這種也沒(méi)有危險(xiǎn)����。
還有一種是交通行業(yè)與銀行發(fā)行的二合一卡片�。ETC卡本身也是一張銀行卡,除了ETC的空中接口����,也支持其他方式的支付。如果只是芯片卡�����,必須插入才能使用��,那么別人也無(wú)法盜刷����,偏偏NFC流行以后,現(xiàn)在銀行卡都是支持閃付的����,這樣只要有設(shè)備�����,接近卡就可以盜刷了�����。
如果僅僅是盜刷��,刷了用戶(hù)不確認(rèn)無(wú)法結(jié)賬�����,錢(qián)還是刷不走���,而偏偏銀行又給客戶(hù)默認(rèn)開(kāi)通了300元以下的小額支取免密碼的“小額免密面簽”服務(wù)。于是就發(fā)生了視頻中畫(huà)面�。
這種盜刷只有金額限制,沒(méi)有次數(shù)限制�����,把你的錢(qián)刷空是輕而易舉的。視頻中涉及的發(fā)卡行是廣發(fā)銀行�����。在其信用卡官方微信號(hào)“廣發(fā)信用卡”中表示�,此片中出現(xiàn)的POS機(jī)已查出是云浮加油站POS機(jī)�����。
理論上POS管理是嚴(yán)格的����,實(shí)名的,有規(guī)定的���,但是如果被*分子盯上��,已經(jīng)發(fā)出去的POS機(jī)想要完全控制住是不可能的�。所以�,辦理了二合一ETC卡的用戶(hù),只要“小額免密面簽”服務(wù)沒(méi)有中止�,就一直處于危險(xiǎn)之中。
二�����、閃付的安全問(wèn)題
這次與ETC卡同時(shí)被推上風(fēng)口的還有銀聯(lián)在2015年10月推出的小額免密面簽服務(wù)。
小額免密面簽只適用于銀聯(lián)芯片卡�,當(dāng)持卡人使用帶有“閃付”標(biāo)識(shí)的銀聯(lián)芯片卡或支持“云閃付”的移動(dòng)支付設(shè)備,在*商戶(hù)進(jìn)行300元及以下金額的交易時(shí)(境內(nèi)300元人民幣���,境外以當(dāng)?shù)叵揞~為準(zhǔn))���,只需將銀 聯(lián)芯片卡或“云閃付”移動(dòng)設(shè)備靠近POS終端感應(yīng)區(qū),一揮即可完成支付�����。支付過(guò)程中��,持卡人無(wú)需輸入密碼����、無(wú)需簽名,除了銀行卡之外���,此外����,Apple Pay、Samsung Pay等新型移動(dòng)支付方式�,也都適用于小額免密免簽,同時(shí)必須是與銀行�����、銀聯(lián)合作的商家才可以使用小額免密面簽功能����。
目前�����,異常的免密免簽交易���,持卡人可以在發(fā)現(xiàn)異常后聯(lián)系發(fā)卡銀行申請(qǐng)補(bǔ)償���,因雙免交易產(chǎn)生的否認(rèn)交易,都可以得到賠付���。這種閃付業(yè)務(wù)為了方便采用免密碼功能本身可以理解�����,但是免密碼不等于可以不認(rèn)證��。Apple Pay���、Samsung Pay好歹還有一個(gè)指紋可以驗(yàn)證���,表明使用者知情。
閃付又沒(méi)有密碼����,等于發(fā)起方和確認(rèn)方都不需要持卡人,只要卡在���,任何人就可以用支持閃付的POS機(jī)或者其他什么設(shè)備把錢(qián)轉(zhuǎn)走�����,這太可怕的��。更可怕的是銀行這項(xiàng)業(yè)務(wù)是默認(rèn)開(kāi)通的�����,而不是默認(rèn)關(guān)閉�����,用戶(hù)需要單獨(dú)打電話(huà)或者到柜臺(tái)才能關(guān)閉���。
銀行為了業(yè)務(wù)量��,拿用戶(hù)的安全開(kāi)玩笑��,默認(rèn)給用戶(hù)開(kāi)通免密支付的服務(wù)��。用戶(hù)就處于危險(xiǎn)之中����。ETC卡因?yàn)榉旁谲?chē)上�����,遠(yuǎn)離持卡人成為目標(biāo)����,而帶在身上的卡因?yàn)檫@種非接觸���、非認(rèn)證的特性也很容易成為目標(biāo)���。
在公交卡時(shí)代��,就有人帶著打卡機(jī)去公交車(chē)上溜達(dá)�,一元一元的刷公交卡的錢(qián)����。而當(dāng)NFC閃付的卡流行以后。這些人就可以300元����,300元的刷了。一趟地鐵下來(lái)成為富豪�,以現(xiàn)在電信詐騙的洗錢(qián)力度,在用戶(hù)發(fā)現(xiàn)投訴�����,相關(guān)機(jī)構(gòu)追查之前��,錢(qián)早就沒(méi)有了�����。
三�、發(fā)行部門(mén)擔(dān)責(zé)是解決辦法
這次ETC事件��,是銀行默認(rèn)給用戶(hù)開(kāi)通的閃付和小額免密���。給了交通部門(mén)空中接口以外的支付手段。而銀行的動(dòng)機(jī)無(wú)非是完成任務(wù)�,譬如發(fā)卡量一類(lèi)的東西,拿用戶(hù)的資金安全開(kāi)玩笑����。
解決的辦法是誰(shuí)發(fā)行誰(shuí)擔(dān)責(zé)任,用戶(hù)沒(méi)有要求開(kāi)通的業(yè)務(wù)默認(rèn)開(kāi)通�����,出了問(wèn)題就讓銀行來(lái)?yè)?dān)責(zé)任���。用戶(hù)未作確認(rèn)的支付(指紋、密碼��、短信等)�����,用戶(hù)可以隨時(shí)取消�����,造成損失都由發(fā)卡行或者發(fā)行部門(mén)來(lái)負(fù)擔(dān)。
現(xiàn)在不僅僅是ETC����、閃付卡的問(wèn)題,我們?nèi)粘J褂玫母鞣N互聯(lián)網(wǎng)支付手段其實(shí)都不那么安全����。很多網(wǎng)絡(luò)支付工具小額也是免密碼的。如果用戶(hù)丟了手機(jī)�����,或者密碼被撞庫(kù)�����,很容易造成金融賬戶(hù)的嚴(yán)重?fù)p失�����。前一段很流行的快捷支付也是如此�����,在盜取個(gè)人信息容易的情況下,個(gè)人信息泄露��,不知不覺(jué)錢(qián)被盜走���。
馬克思說(shuō):“有100%的利潤(rùn)可以挺而走險(xiǎn)�����,有300%的利潤(rùn)����,可以踐踏人間一切法律�。”只要漏洞存在,就一定有人去利用�。對(duì)于銀行、互聯(lián)網(wǎng)公司來(lái)說(shuō)��,要有安全意識(shí)�����,不能為了自己任務(wù)拿用戶(hù)的安全開(kāi)玩笑��。而對(duì)用戶(hù)來(lái)說(shuō)����,新技術(shù)到來(lái)的時(shí)候多了解一點(diǎn),保守一點(diǎn)沒(méi)有壞處�。
移動(dòng)版
智慧城市網(wǎng)APP
智慧城市網(wǎng)小程序
微信公眾號(hào)
