芯片银行卡仍存在漏洞

近几年,全球银行业花费了大量的时间、精力和资金来保护银行卡的安全。过去往往采取卡片凸起数字和签名栏的安全保护手段,而如今智能芯片和一次性密码则成为了保护账户免遭犯罪分子攻击的最新方法。

近几年,全球银行业花费了大量的时间、精力和资金来保护银行卡的安全。过去往往采取卡片凸起数字和签名栏的安全保护手段,而如今智能芯片和一次性密码则成为了保护账户免遭犯罪分子攻击的最新方法。

带芯片和使用PIN码的新一代银行卡(EMV标准)其安全性显然远高于简单的磁条卡,这是业界公认的。但事实上从此类新银行卡研发之日起犯罪分子已经开始着手破解其中的安全保护措施。幸运的是,除了犯罪分子以外,安全研究专家们也从未停止过对这一安全系统的”考验”。 公司研究人员不断寻找支付系统设备和基础设施内的漏洞,试图将它们一一找出后,警告开发商们赶在犯罪分子行动之前修复这些漏洞。

安全研究专家们在黑帽大会上所做的演示既给我们带来了希望,同时也有些许忧虑:毫无疑问,犯罪分子确实能从芯片银行卡内窃取资金—但我们也并非束手无策。来自专门研发支付终端和ATM机的NCR公司的两名员工,就针对常用于商店和加油站支付终端的攻击做了专题演讲。利用廉价的小型Raspberry Pi计算机,就能拦截商店主计算机(即收银机)和支付模块(即密码键盘)之间的通讯内容。

通常来说,两个系统之间的通讯必须适当加密,但在多数情况下,终端往往采用薄弱的加密手段。这便使得犯罪分子能随心所欲地实施中间人攻击:成功拦截支付模块和主计算机之间的通讯并予以解密。

事实上芯片银行卡的基本安全措施能起到一定保护作用,此类攻击无法直接得到里面的数据;因为类似于PIN码这样的数据加密在芯片内,且从不公开传输。但网络攻击者却可以从芯片得到其它数据—通常写在磁条上。

如此,犯罪分子便能获得持卡人的姓名和卡号,然后利用这些数据以及受害人的银行卡进行在线支付。当然,除此之外,犯罪分子还需要卡背面的三位数字(CVV2)—在数据传输中通常保密。但不法分子完全可以诱使持卡人透露这一信息。

除了”插入卡片”和”输入密码”这样的标准请求外,支付终端还会显示其它许多通知信息—类似于”输入你的卡背面三位数字(CVV2或CVC2)”这样的新请求。

此外还有另一种有趣的方法:犯罪分子可能会添加类似于”错误,请重新输入密码”这样的新请求—但这时,支付终端却会认为这是请求非安全保护的公开信息。一旦成功,支付终端便会将安全数据以不安全的方式发送,如此犯罪分子便能轻松得到受害人的密码。

为此,安全研究专家们特意为那些希望自己银行卡安全的持卡人提供两个安全小贴士。首先,千万不要在一次交易中输入两次密码。一旦发现出错并要求重新输入密码,立即取消交易,拔出卡后重新插入,然后再输入密码(同样只输一次)。此外,还需要小心警惕支付终端的任何奇怪请求,最好选择直接忽略—尤其当要求你输入卡背面后三位数(CVC2/CVV2)时。

第二条尽管并非适用于所有国家,但也着实有趣。NCR安全专家们对手机支付系统(比如: Apple Pay)的安全性有着较高的评价,因此使用智能手表或手机要比传统的信用卡支付安全得多。

当然,使用现金是防范各种银行和信用卡诈骗的最好方法。

大众汽车万能钥匙:仅需40美元

就在最近,这方面的研究人员连同来自德国工程设计公司Kasper & Oswald的专家们报告了两个车内新发现的漏洞。其中大众汽车也不幸在内:其多款车型均能在没有车钥匙的情况下打开车门。这一威胁涉及范围极广:研究专家们声称大约有100万辆车存在漏洞,自1995年大众生产的绝大多数车型均处于这一风险之下。只有从高尔夫7开始的新车型才修复了这个漏洞。

提示