每个人都在讨论HTTPS,并谨慎地在线使用信用卡或借记卡,但是什么原因使您认为线下使用银行卡安全呢?除我自己之外,我无法代表其他任何人。但是,我愿意打赌,当您进入杂货店、餐厅或加油站时,您会心甘情愿地将信用卡交给一些您从未遇到过或从未见过的人;仅是因为他或她站在类似于销售终端的机器附近,您会在潜意识中相信这位陌生人。
大学毕业后,我在开始撰写有关计算机安全的文章之前曾担任调酒师的职务。对于计算机安全我曾仅掌握一点极为皮毛的知识,并且无任何时间考虑有关网络安全的事务。我对什么是病毒无任何意识,不了解病毒如何工作,或为何有人要创造病毒,但我知道病毒对令人厌烦的旧指令销售终端来说是个坏消息。直到今天,我仍不能100%确定刷过信用卡后发生什么事情。但是,销售终端却多次出现故障,这使得我对系统的完整性产生质疑——亦即现如今我们称之为”终端至终端”的系统(消费者至零售商至信用卡发行者或银行,及上述两者之间的任何及一切联系)。
或许此时销售终端机仅引起我们的注意,但是当销售终端机在此出现故障时,我们已无法再次容忍这种状况,因此我们不得不打电话请求萨姆的帮助。萨姆是一名年仅16岁的本地高中生黑客及计算机爱好者。他有一头让人感到莫名其妙且长发及腰的金发,我想大概萨姆认为该发型是当时流行的发型吧。萨姆用了一晚上的时间(毕竟这是一家酒吧,需要在晚上工作),并为我们修复了系统。但只有萨姆及他的狐朋狗友杰西(曾在酒吧工作,但因偷窃酒吧的一瓶酒而被开除)了解如何修复系统。
我并未表达正是这两个男孩从幕后破坏销售终端的意思,也未表达酒吧设施过于粗疏的意思。实际上,我所工作的这个酒吧是当地颇受欢迎的酒吧,并且如果我的记忆没出错的话,萨姆最后毕业于乔治城大学的计算机专业;杰西也从一名惹是生非的年轻人成长为一名受人尊敬的成年人。或许我的表述不够规范,但我仅想向您表述,您真的无法了解销售终端的背后究竟出现什么问题。
那么,从实用主义观点来看,从信用卡以塑料卡的形式打印而出的那一秒起,到我们用剪刀将信用卡剪断的那一刻为止,我们应如何保证支付数据的安全呢?曾有人开玩笑的告诉我,我们应使用铅质钱包;其他人也曾建议称,我们应将钱包放在小偷难以窃取的口袋中。我同意上述观点,使用纽扣扣上处于身后位置的口袋,确实可以防止小偷偷窃。小偷需要极为灵巧的手指,在我毫不知情的情况下,才能从已经扣上的口袋中偷出我的钱包。
除了扒手外,您还要注意哪些您亲自把信用卡交付其手的人。曾经有一次,我在马萨诸塞州波士顿市理发后,当我询问极为友好的发型师,是否可使用信用卡时,发型师告诉我,理发店无法使用信用卡,但他的妹妹在街尾处拥有一家礼品店;我可以通过电话告诉发型师妹妹信用卡卡号,在他妹妹店内付款;然后,发型师的妹妹将向其支付理发费用的现金。但我友好的拒绝了这一提议。
同样,这种场景较为罕见,但应注意的是:当任何人希望记下您的信用卡卡号,或希望使用旧式刷卡机刷您的信用卡时,或许您应当做的是,向他支付现金。
ATM诈骗器是指可安装在ATM上,当您将信用卡插入ATM机时,用于偷窃信用卡数据的设备或装置。
上述内容甚至尚未提及ATM!如果您真的希望了解可怕性,则您可以阅读安全记者新闻网站中的文章及ATM诈骗器专家布莱恩 克雷布斯(Brian Krebs)发表的文章。值得庆幸的是,克雷布斯并非仅使用让人感到恐惧的语言予以描述,还已展示出有关诈骗设备的大量图片页面,并已对诈骗设备如何工作予以说明。
顺便说一下,ATM诈骗器仅是我们用于描述可固定在ATM上,当您将信用卡插入ATM机时,用于窃取信用卡数据的设备或装置。基于相同的意图及目的,相类似的诈骗器还可安装在销售终端及天然气终端的信用卡支付输入键盘上。在现实世界中,此类诈骗器等同于中间人攻击。如果您希望了解更多有关此类诈骗器装置如何工作的技术细节,那么我诚恳地建议您查看安全网站中克雷布斯发表的文章。
如果某人已黑进PoS机终端,或已经在ATM上安装诈骗器以从事意图不轨的工作,则您在收到可怕的数据泄露通知邮件(或电子邮件)之前,甚至都不会察觉此类坏人的存在。但是罪犯也是常人,因此罪犯也会偷工减料。再次提醒,除非您能拆开ATM,否则您无法注意到可能已安装的绝大多数诈骗器。尽管如此,我仍在使用ATM时,认真检查ATM机。我会晃动一下键盘罩,以确认键盘罩是否已牢固固定。我会查看显示屏周围及下方,以检查是否存在监视键盘的装置;通常情况下,我会通过拨弄一下显示屏周围,以确定一切处于正常状态。另外,我还会留意观察摄像头的位置,通过微型摄像头窃取ATM使用者信息的例子比比皆是。所有ATM都会配备摄像头,但此类摄像都应正对您的脸部,而不是正对键盘位置。我从来不是用街头的ATM机,并且避免使用处于监管区域之外的ATM机(亦即,我总是使用周围存在负责人,且容易被负责人看到的ATM)。银行中的ATM机是最佳选择,其原因在于,从理论上说银行员工懂得有关ATM诈骗器的知识,并懂得如何发现ATM诈骗器。根据克雷布斯的描述,ATM诈骗器的存在并非假设中存在的问题,美国安全服务部门宣称,2008年ATM诈骗金额高达10亿美元。该数据每年仍在不断增长。
黑客劫持销售终端的问题更为棘手。花些时间确定销售终端外壳是否处于完全无损及正常状态,肯定是终端用户值得做的事情;即便如此,储存及传输支付数据的销售终端也可能已遭破坏。销售终端的使用除需要点对点的安全保护之外,还需要保护其他诸多方面(再次提醒,需留意从你手中向收钱者支付的全过程)。一位安全专家层向我讲述下面的故事:罪犯穿着半官方性的制服,告诉某不知名零售店的员工,他们前来维修PoS系统。当然,他们并不是来维修系统,而是来安装诈骗器。我很难确定这个故事的真实性,但我却认为这个故事是现实中真实发生的事情。
请将销售终端的使用想象为扑克游戏;在玩扑克游戏时,您总是尽可能的使手放在近身位置,以防止其他玩家偷看。大大咧咧的将您的借记卡放在桌面上,等同于在网络上发布您的借记卡照片。在销售终端的使用时,您还需尽可能的少用笔。只要有机会,您就应当选择使用借记卡而并非选择使用信用卡。在此状况下,即便您已遭受销售终端诈骗,至少坏人无法掌握您信用卡的PIN编号。
最后,许多事情处于您可控制的范围之外。也就是说,您需要采取多种有效的处理措施:您应始终注意银行账户余额及信用卡余额。有些银行会设定ATM取款限额,因此如果在您遭受ATM诈骗时,诈骗者仅可取出限制范围内的现金款项。在可能的条件下,尽可能多的使用不同银行的不同信用卡也是不错的方法。试样一下:如果在您遭受ATM诈骗时,您希望被诈骗者掌控的是无任何取款限制的美国运通信用卡,还是仅可取款1000美元的其他银行信用卡?该方法同样适用于借记卡。我在出门时,从来不携带和生活储蓄账户相链接的借记卡。