免触支付是否安全？

“您总共消费了12.95美元。”一家当地超市的收银员说道。我取出钱包，熟练地在POS机终端上轻轻一扫，很快就听到了哔的一声 – 瞧！–交易成功了！

免触式银行卡实在是太方便了。有了它，你再也不需要刷卡、记住PIN码和用笔签字，而且也不需要费力地掏出钱包、寻找现金或者从口袋的深处摸索硬币。只需一扫–即可轻松完成支付。

收银员同样也乐意使用免触支付方式：不仅加快了付款流程速度，同时还提高了收银员的顾客处理量，而这正是公认的所有零售过程的瓶颈。

然而，其易用性也让人们不禁怀疑起自己卡内的资金是否也同样容易被盗走。犯罪分子是否会暗中用读卡器对你的口袋轻轻一扫，就将你存在卡内的所有资金偷个干净？

为了查明真相，我研究了大量来自黑客会议的报告并和许多银行代表就这一问题进行探讨。他们的反馈无一例外都相当积极和正面，但并非表示毫无缺陷。

范围

免触式卡采用近场通信（一种基于无线射频识别的技术）方式运行。卡内集成有微型芯片和天线，使用13.56 MHz频率范围，可对POS机终端的请求进行回应。不同支付系统使用各自的标准，包括：维萨的payWave、万事达的PayPass和美国运通的ExpressPay等。但所有这些系统均采用了相同的方法及核心技术。

NFC的数据传输距离极短–不足一英寸。因此，你完全可以自己筑牢第一道安全防线。基本上来说，需要将读卡器和卡片凑得非常非常近才有可能扫描到，因此要想使用读卡器暗中扫卡的难度可谓相当之高。

同时，商家也可以安装专门定制的读卡器，可使扫描的距离更长。例如，来自萨里大学的研究人员就展示了一种紧凑型扫描器，能在80厘米的距离内读取NFC数据。

#contactless cards could be easily hacked with cheap electronics, study of @UniOfSurrey proved: http://t.co/rDs1CjTG48 #NFC #cybersecurity

— E+T Magazine (@EandTmagazine) October 31, 2013

此类装置可向广泛运用于公共交通、商铺、机场和其它’人群聚集’场所的免触卡发送请求。在许多国家，NFC兼容卡可谓相当普及。因此在人流聚集的地方，许多人都可能会成为犯罪分子实施NFC攻击的受害人。

最终，即使在没有定制扫描器或近距离接触的情况下，免触卡使用者也可能会遭受资金莫名被盗的损失。西班牙黑客Ricardo Rodrigues和Jose Villa发明了一种简便的’消除距离障碍’方法，并在Hack in the Box大会上进行了演示。

图像来源: Practical Experiences on NFC Relay Attacks with Android

如今绝大多数的智能手机均配备有NFC组件，且手机通常都放在离钱包很近的地方–比方说，手提袋或口袋内。Rodrigues和Villa设计出一种安卓木马病毒概念，能将目标智能手机信号转到一种类似于NFC转调器的装置上。

一旦受感染手机放在和免触卡很近的位置，就可能发出向网络攻击者执行交易的信号。骗子随后激活常规的POS机终端，然后将启用NFC的智能手机靠近终端。如此，在没有真正扫卡的情况下，类似于’桥’的一种连接在NFC和NFC终端之间建立。

该种木马病毒可能会通过标准化方法传播，例如与恶意软件捆绑以及通过遭黑客入侵的支付应用程序传播。但只有受害用户使用安卓4.4或以上版本时，这一攻击方法才有可能奏效。就算无需root权限，即使在智能手机锁屏的状态下，木马病毒也能有效运行。

加密

在恶意读卡器扫描距离内成功扫描目标卡只是完成了任务的一半。还有更加难以攻破的一道防线–加密。

免触交易受到同样的EMV标准保护，该标准可保护内置有EMV芯片的常规塑料卡片。尽管卡片磁条可轻易克隆，但芯片克隆却难以实现。在接受来自POS终端的请求后，其中的集成电路会自动生产一次性密钥。该密钥可能会被拦截，但却无法用于下一次交易。

研究人员表达了对于EMV安全性的众多担忧；但在实际生活中，还从未听说过对EMV卡的成功黑客入侵。

Are contactless payments safe?

Tweet

但还有一个问题。在标准部署中，EMV卡的安全概念是以将加密秘钥与用户输入PIN码结合使用为基础。而在免触交易中，无需输入PIN码，因此保护方法仅限于由卡和终端生产的加密密钥。

“从理论上说，生产能读取从口袋内卡片传输的NFC数据的终端并非难事。但是，此类定制终端还应采用来自收单银行和支付系统的加密密钥。由于密钥由收单银行发出，这意味着骗子能很容易地追踪和调查。” Reiffeisenbank应用支持主管Alexander Taratorin解释道。

交易金额

此外，还有另一道安全防线：限制免触支付的交易金额。这一限制被编码成了POS机终端设置，根据从支付系统获得的建议，被收单银行认为足够安全。在俄罗斯，免触交易的单笔最大金额不得超过1000卢布，而美国和英国的金额限制分别为25美元和20英镑（即将提升至30英镑）。

一旦金额超出这一限制，交易将会被拒绝或要求额外的有效性证明，例如：PIN码或签名，这取决于寄单行设置的条件。为了防止有人恶意连续扫描小笔金额，还部署了另一种安全机制。

Quantum plastic: an insight into credit cards of the future: https://t.co/NpMM9FuzwZ с помощью @kaspersky

— Yulya Polozova (@YulyaPolozova) February 6, 2015

然而其中依然存在不安全性。大约在一年以前，来自纽卡斯尔大学（英国）的另一支研究小组报告了存在于维萨免触卡安全系统内的漏洞。一旦你选择用英镑以外的货币进行支付，就可以绕过金额限制。如果POS机终端处于脱机状态的话，最大交易金额甚至可达到100万欧元之多。

然而，维萨代表否认了此类攻击在实际使用中的可行性，并表示此类巨额交易将会被银行的安全系统拒绝。

据Reiffeisen银行的Taratorin表示，一台POS机终端可以控制最大交易金额，且不受货币种类的影响。

另寻他法

是否支付系统银行在实际使用中出现错误的可能性较低就能防止恶意免触交易呢？可能是，但前提条件是骗子并非上述所讨论银行的雇员。

但与此同时，还有另一个不幸的发现。NFC让盗取支付卡凭证变得更加容易，如果交易本身并未遭劫持的话。

使用EMV标准的前提假设是一些数据以非加密的形式保存在芯片内存中。此类数据可能包括：卡号和最近一笔交易记录等信息，这取决于寄单行或支付系统的政策。数据可以通过使用正版应用程序的启用NFC智能手机读取（例如银行卡读卡器NFC）–你完全可以自行检测。

时至今日，处于危险下的这些信息依然被认为是开放的，但不足以对银行卡的安全构成威胁。然而，一家著名的英国消费者媒体最近爆料？出人意料地打破了长久以来的’安全神话’。

**SECURITY ALERT** We've found a flaw with contactless cards that could be exploited to make pricey online purchases http://t.co/0yVNrKDije

— Which? (@WhichUK) July 22, 2015

到底是什么新闻呢？一些专家对英国各家银行发行的一小部分免触卡进行了试验。仅仅借助廉价NFC读卡器和免费软件，他们就成功解码了所有参与试验的免触卡的卡号和到期日期。

这一发现实在来的不是时候。在网购时难道不需要输入CVV代码？

令人遗憾的是，的确有许多在线购物网站都不需要用户输入CVV代码。到底有哪些网站呢？这些专家们在不输入CVV代码的情况下，在一家大型在线购物网站上成功订购了价值3000英镑的电视机。

利润

然而使用免触支付技术的前提条件是系统部署了多层安全保护措施，但并不意味着你的资金就100%安全。许多银行卡依然使用像磁条这样的陈旧技术，在没有另外验证措施的情况下就能进行在线支付。

在许多方面，安全性取决于金融机构和零售商所采用的设置。而对于零售商而言，他们追求的是更快的购物和付款流程，有时宁愿牺牲支付安全也要赚取更多的利润。

Criminal business on #ATMs, part 2: https://t.co/qCWhTm2ALD pic.twitter.com/46zP035BBE

— Kaspersky (@kaspersky) January 30, 2015

这也是为什么一些基本的安全建议甚至对于免触支付技术而言仍然不算过时。因此依然要防止他人窥探你卡信息-PIN码，这千万不要觉得不好意思；在智能手机下载应用程序时需要万分小心；安装反病毒软件、开启银行短信通知并且一旦发现可疑行为立即通知你的发卡行。

如果想要杜绝不法分子读取你的NFC卡，可以考虑买个有屏蔽功能的钱包。因为没有一种技术能违背物理定律。