金融安全

7 文章

免触支付是否安全?

“您总共消费了12.95美元。”一家当地超市的收银员说道。我取出钱包,熟练地在POS机终端上轻轻一扫,很快就听到了哔的一声 – 瞧!–交易成功了! 免触式银行卡实在是太方便了。有了它,你再也不需要刷卡、记住PIN码和用笔签字,而且也不需要费力地掏出钱包、寻找现金或者从口袋的深处摸索硬币。只需一扫–即可轻松完成支付。 收银员同样也乐意使用免触支付方式:不仅加快了付款流程速度,同时还提高了收银员的顾客处理量,而这正是公认的所有零售过程的瓶颈。 然而,其易用性也让人们不禁怀疑起自己卡内的资金是否也同样容易被盗走。犯罪分子是否会暗中用读卡器对你的口袋轻轻一扫,就将你存在卡内的所有资金偷个干净? 为了查明真相,我研究了大量来自黑客会议的报告并和许多银行代表就这一问题进行探讨。他们的反馈无一例外都相当积极和正面,但并非表示毫无缺陷。 范围 免触式卡采用近场通信(一种基于无线射频识别的技术)方式运行。卡内集成有微型芯片和天线,使用13.56 MHz频率范围,可对POS机终端的请求进行回应。不同支付系统使用各自的标准,包括:维萨的payWave、万事达的PayPass和美国运通的ExpressPay等。但所有这些系统均采用了相同的方法及核心技术。 NFC的数据传输距离极短–不足一英寸。因此,你完全可以自己筑牢第一道安全防线。基本上来说,需要将读卡器和卡片凑得非常非常近才有可能扫描到,因此要想使用读卡器暗中扫卡的难度可谓相当之高。 同时,商家也可以安装专门定制的读卡器,可使扫描的距离更长。例如,来自萨里大学的研究人员就展示了一种紧凑型扫描器,能在80厘米的距离内读取NFC数据。 此类装置可向广泛运用于公共交通、商铺、机场和其它’人群聚集’场所的免触卡发送请求。在许多国家,NFC兼容卡可谓相当普及。因此在人流聚集的地方,许多人都可能会成为犯罪分子实施NFC攻击的受害人。 最终,即使在没有定制扫描器或近距离接触的情况下,免触卡使用者也可能会遭受资金莫名被盗的损失。西班牙黑客Ricardo Rodrigues和Jose Villa发明了一种简便的’消除距离障碍’方法,并在Hack in the Box大会上进行了演示。 图像来源: Practical Experiences on NFC Relay Attacks with Android 如今绝大多数的智能手机均配备有NFC组件,且手机通常都放在离钱包很近的地方–比方说,手提袋或口袋内。Rodrigues和Villa设计出一种安卓木马病毒概念,能将目标智能手机信号转到一种类似于NFC转调器的装置上。 一旦受感染手机放在和免触卡很近的位置,就可能发出向网络攻击者执行交易的信号。骗子随后激活常规的POS机终端,然后将启用NFC的智能手机靠近终端。如此,在没有真正扫卡的情况下,类似于’桥’的一种连接在NFC和NFC终端之间建立。

银行卡:安全隐患无处不在

我们(以及其他许多网络安全博客)常常会写一些有关各种盗读技术和以其它方式窃取银行卡的文章。今天,我们将讨论那些表面看上去并不危险,但却的的确确存在却被大多数银行卡用户所忽视的风险。我们即将讲述的故事是有关跨境支付的风险以及在支付系统内所发现的内在缺陷。 无需CVV代码的支付交易 许多人总认为必须输入CVV代码(印在信用卡背面的三位数字)才能完成在线交易。然而,有些网店却能跳过这一步骤,且无需将密码传送至支付网关。 就这一问题我们询问了DiaSoft商务拓展部研发主管Sergey Dobrinyuk,他是这样评论道的:”要完成在线交易通常需要提交这些认证信息:卡号、有效日期、印刻在卡上的持卡人姓名以及印在卡反面的CVV代码。” “凹凸印字卡片(持卡人姓名的字母在卡表面凸起显示)在在线支付时使用得更加频繁,且通常来说这些卡的级别较高,比如:VISA经典卡和VISA金卡等。发卡行则会对客户的身份和购买力进行核实和评估。这也是为什么在交易金额不大的时候,如果能确定是”高品质”买家的话,卖家可能只会验证卡号的真实性而跳过授权认证这一环节。” “这就是所谓的’免授权限额’。一些银行和网店的免授权限额最高可达1000美元。” Dobrinyuk说道。 据有关专家称,一些新兴市场的 “高品质”客户并非都能享受到如此的优待,而通常来说支付系统也会部署更多的安全等级,但目前还不存在共享的银行卡认证信息政策—每一家网店完全可以制定自己的规则。 “所有无需PIN码或3D Secure验证的远程交易都可能受到用户的质疑。如果你对交易的合法性抱有疑问的话,完全可以向银行申请退款,在银行调查清楚后便会将这笔钱退回到你的账户。” Dobrinyuk说道。 Dobrinyuk建议网购用户只在那些拥有3D Secure标准(VISA卡和万事达卡分别对应”Verified by Visa”和”SecureCode”)的网店进行在线交易—作为一种双重认证方式,交易时必须输入通过短信发送或打印在ATM凭条上的一次性密码。 不幸的是,网店完全能自行决定是否需要在其支付系统内部署额外的安全等级。就算你的信用卡受到3D Secure的保护,但网店依然可能跳过这一步骤。 使用虚拟信用卡也有助于提升安全保护等级。此类信用卡通常有效期很短,且所涉金额较小。即使遭受黑客入侵,主卡的支付认证信息也不会被泄露。 正如你所知的,将你的信用卡卡号告知他人并不是一个好主意。如果有网络犯罪分子引诱你透露持卡人姓名和卡有效期,那他很有可能就能从你的账户内窃取资金—就算没有CVV代码也完全可行。好消息是此类情况你可以向银行申请退款。但也有坏消息,就是你需要自己甄别欺诈交易并行动迅速。 仅限电子联机交易 对于VISA电子信用卡和其它采用各种不同支付系统的入门级信用卡产品,人们都有一个共同的误区。此类信用卡没有印刻任何信息但在卡正面却印有免责声明:”ELECTRONIC USE ONLY(仅限电子联机交易)”。 许多人都误认为这样的卡无法用于在线交易,但事实上这完全由发卡行决定。支付系统政策根本无法限制此类卡的在线交易。 简单地说:网络骗子同样能从入门级信用卡内窃取资金。 跨境支付 由于汇率的波动,持卡人在进行跨境在线支付和境外取款时总会遇到这样或那样的问题。其中主要的风险之一便是对持卡人不利的汇率波动。 “此类情况下可能最多需要进行4次汇率换算:从电子商务平台终端、收款行、支付系统最后到发卡行”。Dobrinyuk提醒说道。

世纪最大劫案: 黑客盗用十亿美元

高级持续性威胁(APT)是信息安全专家常常挂在嘴边的话题,这种攻击通常利用最最尖端复杂的黑客工具。但对于普通大众来说,这种威胁似乎与己无关。 对于公众来说,最广为人知的一些攻击类似于间谍小说中的情节。直到最近,APT还不是人们关注的话题,因为绝大多数APT针对的是政府机构,其中所有调查细节高度保密,并且实际造成的经济影响难以估计,原因显而易见。 然而,今时不同往日:APT已将触角伸入商业领域,更准确的说是银行业。结果可想而知:以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 攻击套路 为了渗透到银行内网,黑客利用定向钓鱼邮件来诱导用户打开邮件,借机使用恶意软件感染电脑。一旦成功,黑客就会在用户电脑上安装一扇后门,后门基于Carberp银行恶意软件源码,此项行动也由此得名为Carbanak。 以数十家全球金融机构为攻击目标的APT行动造成的损失高达10亿美元 获得对电脑的控制权后,黑客会以此电脑作为入口点,探测银行内网并感染其他电脑,目的是找出能用于访问关键金融系统的电脑。 找到这样的电脑后,黑客将研究银行使用的金融工具,并利用键盘记录软件和隐蔽的截屏功能来查看和记录银行职员屏幕上的一切信息。 随后,为了完成行动,黑客会根据具体情况定义最为便利的方法来盗取资金,他们或者使用电汇转帐,或者建立一个假的银行账户,利用钱骡直接取现,或向ATM机发送远程指令吐钱。 这种银行网络盗窃行为的持续周期平均为两到四个月,从感染电脑的第一天开始算,一直到最终取现为止。 估计损失 黑客以某种方式从入侵的每家银行盗取250万美元到1000万美元,即便分别来看,此金额也相当惊人。假设有数十家,甚至上百家金融机构因APT攻击导致资金被盗,累计总损失很有可能达到10亿美元,令人瞠目结舌。 被ATP攻击导致持续严重损失的国家包括俄罗斯、美国、德国、中国和乌克兰。目前,Carbanak蔓延范围不断扩大,目前马来西亚、尼泊尔、科威特和若干非洲国家都已发现APT攻击。 据卡巴斯基实验室发布的信息,Carbanak所利用恶意软件的首批样本早在2013年8月创建。第一例感染发生在2013年12月。第一次有记录的成功盗取发生在2014年2月到4月间,攻击高峰时间是2014年6月。 很明显,除非被捕,否则黑客绝不会就此罢手。目前,众多国家网络防御中心和多家国际机构,包括欧洲刑警组织(Europol)和国际刑警组织在内(Interpol)都展开了调查行动。卡巴斯基全球研究分析小组(GReAT)也在其中贡献了自己的一份力量。 如何防御这种威胁? 下面要告诉卡巴斯基用户一些好消息: 卡巴斯基实验室的所有企业级产品和解决方案都能检测到已知的Carbanak恶意软件样本:Backdoor.Win32.Carbanak和Backdoor.Win32.CarbanakCmd。 为了确保您的防御等级保持在高水平,我们建议您启用主动防御模块,卡巴斯基的所有产品版本中都含有此模块。 此外,还有一些小贴士,可保护您不受这种及其他安全威胁: 绝不打开任何可疑电子邮件,尤其是带附件的邮件。 定期更新使用的软件。例如,这次攻击行动利用的并不是零日漏洞,而是供应商之前打过补丁的已知漏洞。 启用反病毒软件中的启发式检测:此功能将提高极早检测到恶意软件样本的几率。 若要了解Carbanak行动的更多信息以及卡巴斯基GReAT小组调查的详细信息,请查看Securelist上的相关博文。

量子塑料卡片:洞察未来信用卡趋势

在我们最近的一篇博文《银行卡欺诈:针对ATM机的犯罪活动》中,我们介绍了”盗读者”们如何通过其独特的犯罪手段轻松窃取我们的卡内资金。这一犯罪活动之所以依然猖獗的主要原因是:银行仍然使用的是上世纪70年代的银行卡安全系统技术。卡内磁条上的数据以’纯文本’的形式编写,而PIN码只是一段很短的安全数字,因此非常容易被盗。而最关键的问题是,这是唯一保护您银行账户的安全措施。 毋庸置疑的是,金融业每天都因各种欺诈活动而遭受巨额的资金损失,因而他们正不遗余力地部署更为先进的交易安全技术。 到目前为止,最成功的技术非启用芯片的银行卡(或被称为EMV卡)技术莫属。随着欧洲和加拿大大范围采用这一技术,这些地区和国家的复制卡犯罪案数量得以大幅下降。使用读卡器的”盗读者”们不得不转战EMV卡还未普及使用的美国和亚洲地区,以寻求作案机会。 然而,先进的EMV系统可能会对银行卡保护起到一定作用,但并非是理想选择也无法保护任何所能想象到的威胁—假设盗读技术依然不断得到发展和进步。在不久的将来,最大的可能性是我们使用不同类型的银行卡。 那未来到底会有哪些类型的银行卡呢?让我们共同一探究竟。 密码和回答 最先想到的解决方案是再加一层安全保护—比如广泛运用于互联网的双重认证方法。 当在线支付时,除了银行卡背面的CVV2安全代码以外,持卡人还需输入随即生成的密码:以短信形式发送到手机的、ATM打印的或由银行授权硬件工具生成的代码。如果涉及金额很大的话,双重认证还可以被用于离线交易。 带集成显示屏的银行卡就部署了类似的认证方法。此类情况下,常规信用卡也可配备内置微型计算机(包括LCD显示屏和数字键盘)。除了生成一次性密码以外,还可显示账户余额和历史交易记录等内容。 尽管首张交互式银行卡早在5年多前就已问世,但仅有欧洲、美国和亚洲发达国家的特定几家银行可向客户提供。 按需”生成”磁条 一家美国公司Dynamics研究出了一项更为奇特的解决方案。就表面意思来说,该卡内的确没有固定的磁条。所谓的”磁条”由该卡内的硬件按需动态生成,而用户首先需要通过卡上集成键盘输入密码。 如果你碰巧忘记了密码,则磁条将无法生成,造成交易也无法进行。此外,该卡也没有通常的16位数卡号:一部分位数并未直接印刻在塑料卡片上,而在输入密码后显示在卡上的微型显示屏上。 指纹确认交易 密码可能是保护自己银行卡的强大武器,但对于健忘且无法保密的人而言几乎毫无用处。我们都听说过这样的故事:”聪明过头”持卡人将PIN码写在卡片上,随后就连卡一起丢失了。 基于生物统计的验证方法可以彻底解决这一问题。一家总部位于挪威的公司Zwipe与万事达卡合作,目前正在试验以确定在信用卡上集成指纹扫描器的可能。一旦成功推广的话,以后确认交易只需将手指按在卡上接触片即可确认交易。 量子技术将大有可为 尽管已研究了数十载,但完全可操作量子计算机仍然遥不可及。但希望依然存在:量子技术的某些功能可用来创建无法伪造的标识符。 来自屯特大学和埃因霍芬理工大学的荷兰研究人员计划将基于量子的安全系统理念运用于信用卡和个人证件上。尽管这项技术依然停留在实验室试验阶段,但基于量子的安全系统的模型目前正在开发之中并有了正式的名字-量子安全认证(QSA)。 一张普通塑料卡片的一小部分涂有一层非常薄的氧化锌(又称”锌白)。随后再小心地对该部分进行激光光子扫射。当射到纳米粒子时,光子会在氧化锌层内部随意反射。这一过程能够改变粒子层的光学性质,进而形成一个独一无二的秘钥。 任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态,并导致攻击者的整个入侵过程以失败而告终。 如果有人对此类银行卡发射一系列激光脉冲(例如:’提问’),他们会收到一个确定的反射模式(例如:’回答’)。独一无二的’提问-回答’组合包被保存在银行数据系统内,并被用于验证秘钥。 犯罪分子将无法在交易过程中拦截提问-回答组合包。任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态,并导致攻击者的整个入侵过程以失败而告终。 无论采用何种方式入侵该安全系统,伪造的银行卡必须大小完全一样,此外也必须满足位置和纳米粒子其它参数上的一致,如此才能保持和原卡的精确一致。但由于工艺实在过于复杂因此在实际操作中根本不可行。 QSA开发人员表示,尽管这一技术理念看似复杂,但完全可以利用现有的技术和方法,因此要部署这一技术相对简单且价格低廉。 快中有慢 银行立刻部署上述安全系统的可能性很小。金融业通常都相当保守,且真正大规模部署该项新技术需要耗费巨额成本。 考虑到这一点,我们相当确定支付方法创新将首先出现在非银行类的服务中:例如,类似于已为人们熟知的Apple Pay或Google Wallet的新支付系统;或像Coin、Wocket和Plastc这样前途光明的”黑马”(我们将在以后与您分享有关它们的故事)。

银行卡欺诈:针对ATM机的犯罪活动之二

在本系列的第一部分,我们探讨了银行卡’盗读者’所使用的犯罪技术。今天,我们将为您讲述此类犯罪案件的另一部分内容,即这些犯罪分子是如何实施危险性最高的盗读过程。 外包盗读过程 对于大多数’盗读者’而言,根本无需掌握太多专业的犯罪技术。然而,有些操作–包括硬件安装过程–危险性极高。有时候,这些高危工作就外包给了所谓的’业内专家’。 一名技术娴熟的”专业人员”只需要30秒钟左右的时间就能安装完成一部盗读设备。除此之外,还需要完成多个步骤的前期准备和情报收集工作,包括:现场环境和监视摄像机的分析以及确定人最少的时段—所有这些工作都少不了长期在目标附近蹲点的同谋犯。 熟练安装工所安装的盗读器很难被拆除。头脑冷静、衣着考究的绅士只需声称在ATM机上看到了一些可疑的东西并只是想在报警之前确认一下,就能将自己的罪行洗脱得一干二净。此类犯罪行为难以被证实,尤其是在犯罪分子将黏胶和安装的盗读器清除以后。这也是为什么银行方面建议用户不要去触碰任何可疑的东西,而应直接报警的原因。 除了ATM机以外,”盗读者”感兴趣的目标还有其它接受银行卡的终端类型。这些终端包括:加油站和火车站的自动售货机–以及其它各种类型的自动售货机。相比于ATM机而言,普通人对于此类机器的戒心较少,且安全保护等级也更低。 “收割”犯罪活动 一旦盗读硬件安装完毕,犯罪分子就能实施第二阶段的”欺诈”工作–’收割’。他们利用欺诈行为还未被发现前的这段时间疯狂地复制尽可能多的银行卡:只要银行发现了这一盗读犯罪活动,”被收割”银行卡持卡人阻止他们的几率将更高。为了观察现场状况,”盗读者”的同谋犯必须在目标ATM机对面的车内或咖啡厅内长期蹲点。 如果一直没人发现ATM机有异样,欺诈活动将一直进行下去直到电池耗尽,从而盗取上千个银行卡认证信息。 如果一直没人发现ATM机有异样且银行安保也毫无察觉的话,欺诈活动将一直进行下去直到电池耗尽,从而盗取上千个银行卡认证信息。 最贪心的犯罪分子会去拆除设备以便用于下次犯罪活动,但最聪明的”盗读者”则会直接将设备遗弃,为的是最大降低被捕风险。从被盗卡所赚取的所有利润可能有数千美元之多,这足以弥补任何设备的损失。 从复制的银行卡内取款也是一种独立的高风险犯罪行为–因此这一部分的工作也常常被外包出去。一般来说,”钱骡”被雇佣来完成这一部分的工作。 有时候”钱骡”只是简单地将取出的现金交给专业化的”盗读者”,按之前商定好的比例抽取佣金。但也有一些”钱骡”会主动购买被盗磁条数据,但这是另一回事了。 过于原始的技术 从银行卡内窃取现金之所以如此轻而易举,主要得益于银行卡的安全技术过于原始。基于磁条的银行卡最早出现在几个世纪以前,而在上个世纪中叶,专门窃取和复制银行卡认证信息还闻所未闻。 从银行卡内窃取现金之所以如此轻而易举,主要得益于银行卡的安全技术过于原始。 记录在磁条上的数据缺乏足够的保护措施,只有一条相当短且易受攻击的PIN码用来进行交易验证。在发明磁条技术后还出现了几种加强的保护技术,但却并非是每一张银行卡的标配。 不用说,支付系统和银行已花费了数年的时间来开发一种针对该问题的解决方案。在过去的20年内,欧洲越来越多采用同时配备磁条和集成芯片的EMV银行卡。 两者之间的差别是芯片无法像磁条那样能被复制。在使用EMV银行卡取现时,ATM机会要求卡内芯片创建一个独一无二的一次性密钥,虽然也可能会被盗走,但却无法用于另一笔交易。 尽管安全研究人员已报告了大量存在于EMV银行卡内的漏洞,但在实际操作起来却是另一回事。虽然这一技术进步可能会彻底打垮”盗读者”的犯罪活动,但依然需要一段过程:全部采用EMV银行卡将是一个长期、复杂且代价高昂的过程,并需要相关各方的参与。 所有相关各方都必须参与其中,共同协作:支付系统、银行、购方企业、POS终端生产商以及其他各方。这也是为什么如此多的国家(包括发达市场)依然使用陈旧的非EMV银行卡的原因。 即便如此,基于EMV的银行卡也有可能被盗读。但为了与旧式终端反向兼容和提高适应力,可能必须是基于磁条数据(而非芯片)才能完成交易。 据欧洲ATM机安全团队报告,尽管EMV程序正在全美范围开发,但”盗读者”依然十分猖獗。亚洲的印度尼西亚和泰国,欧洲的保加利亚和罗马尼亚也成为这方面风险最高的国家。 有关如何避免成为#ATM#机盗读者受害人的10条简单的#安全小贴士# 银行可能会赔偿被盗读者所窃取的资金,尤其是当责任被转移到了另一方–可以是支付系统、ATM机所有人或保险公司。但大多数情况下,被盗读卡持有人将不得不自己买单,这方面已有大量的案例佐证。 规避法则 不存在万无一失的方法能100%保证你的银行卡不会被ATM机盗读者所利用,但我们可以为你提供一些简单的安全小贴士以规避此类风险。 1.如果你的银行卡没有集成EMV芯片,则应完全弃用。你可以要求银行为你更换EMV银行卡。即便使用芯片集成的银行卡也无法保证100%的安全,但依然能规避大部分的风险。 2.启用短信通知功能来更好地追踪交易。你越早发现被盗刷的证据,则追回损失资金的可能性越高。 3.如果你不是经常外出旅行或出差,询问银行是否能够限制异地交易(当你需要出国时,可以将交易权限限制在目的地国境内)。这是一种非常有效的方法,在欧洲多国已得到验证。

银行卡欺诈:针对ATM机的犯罪活动

我们都知道需要小心提防扒手。尽管早期儿童教育并没有教给孩子如何在外面时盯紧自己口袋,但生活的经历教会了他们这些简单的道理。同样的道理也适用于网络黑客。如今,互联网上铺天盖地有关网络黑客活动的报道,即使是儿童也略知一二。 但有关”盗读者”的新闻却鲜有报道,因此很容易让你不知不觉地落入此类网络犯罪活动的圈套。这些盗读者借助安装在ATM机上的微型隐秘硬件,专门从事盗取银行卡认证信息的犯罪活动。尽管警察、银行和支付系统都付出了巨大努力,但银行卡账户的盗窃金额依然呈上升趋势。 盗读者有点像扒手(都使用类似的手上技巧),在某种程度上也有点像网络黑客–他们所从事的犯罪活动完全依赖于一些高科技和PC电脑技术。 只要你使用ATM机提款就有可能成为他们的攻击目标。一旦你的银行卡内没有内置芯片,你的处境将十分危险:无芯片银行卡被盗读的风险要高得多。如果你没有订阅银行短信通知、将自己的银行卡随意插入街上看的任何ATM机以及将取现PIN码到处公开的话,这些都会让你成为盗读犯罪受害人的可能性更高。而你的这些愚蠢行为将让盗读者们暗自窃喜。 事实是,近些年来此类违法活动案件与日俱增,且所用技术不断进步。但犯罪原理仍然缺乏新意:使用隐秘技术读取银行卡磁条内数据,偷偷记录PIN码,将卡复制后清空该银行卡账户内的所有资金。然而,数据盗窃的技术却已突飞猛进。 完全商业化 以前,有一些盗读者还会将自制的银行卡读卡器和粗制滥造的硬件用在ATM机加钞盒上,冒着当场被抓的风险手动提取数据。但这样的时代早已过去了。随着这个”行业”的不断发展,动手自制工具的盗读者也已不复存在。如今,银行卡盗读变成了一项组织精良且高度自动化的犯罪活动。 这一犯罪链的第一环是现成硬件解决方案(由大量可用部件制作而成)的制造者和销售者。所有交易均在网上进行,并通过快递送到买家手中–对于犯罪分子而言这是最安全的方法。 想要验证盗读硬件是否真如想象得那般流行,只需在任何一个搜索引擎中输入一个简单的求购信息。这一套工具包括:可从一张塑料卡片内提取数据的隐秘读卡器、一块能够获取PIN码的伪造面板以及附带相应功能的复制卡设备,所有这一套售价通常在1500-2000美元之间。而信息科学专家Brian Krebbs估计这样一套工具在几年前的售价高达1万美元。 盗读工具的买家并不需要是精通技术的专业黑客:这些工具通常都会附带详细的操作手册,有些手册甚至还写有’最优方法’的内容。有些内容甚至详尽到列明了推荐使用的一次性电池型号,以确保读卡器能够电力充足,持续工作。 科技突飞猛进 技术进步加上巨大的需求,推动了用于违法活动的电子部件技术的飞速发展。一旦安全专家推荐采用何种特殊方法检查ATM机,那这种推荐的方法很快就会失效。 首先,经验丰富的犯罪提供商所出售的硬件几乎很难与ATM机原始部件区分。即使是再仔细的用户都无法分辨两者的区别:伪造的加钞盒无论是所用塑料的材质类型还是颜色都与合法的加钞盒一模一样。只是在形状上稍有不同。 之所以能如此逼真,是因为制造商精心仿制了大量广泛使用加钞盒模型(拥有众多客户的大型银行都使用这一模型)的ATM机元素。当然,银行本身也采用了反盗读技术作为应对方法。 其次,还有盗读者将读卡器手动放入加钞盒随后进入ATM机内部。这一新奇的小玩意引述自欧洲ATM安全团队(非营利性组织)近期所发表的报告中。更可怕的是,此类设备根本无需读取银行卡磁条—他们使用ATM机内的资源来读取。 手动提取数据也早已过时了。新型读卡器配备有通过普通蜂窝网络发送加密(你听的没错,盗读者也用这玩意!)磁条数据的GSM模块。 看好你的PIN码 一切准备就绪后,获取PIN码变成了最简单的一环。为了偷偷记录PIN码,犯罪分子只需使用微型隐秘摄像机甚至类似于iPod Touch(以细长Z高度和强劲电力而著称)这样的普通移动设备就能办到。 微型摄像机可以安装在ATM机按键上方或房间的其他位置。盗读者尤其钟情于银行用来摆放宣传资料的架子。作为银行的内部装饰,这些通常都被视为安全的。 然而,如果有取款人不小心用手挡住了镜头,则偷偷安装的微型摄像机将无法起到任何作用。此外所拍摄视频也无法很方便地发送和处理,并需要一些手动工作。 针对ATM机小键盘的细长伪造面板的价格正在变得越来越便宜,现在黑市的售价普遍低于1000欧元,这也造成此类犯罪案件数量的持续攀升。如此就算镜头被遮住–伪造面板也能检测你的PIN码。将4位PIN码通过短信发送至盗读者数据库相比处理一长段视频要容易许多,且整个过程几乎都是自动进行的。 当然,尽管盖在原始小键盘上的虚拟面板明显有凸起感,但几乎没有一个取款人会近距离检查键盘并仔细查看之间的缝隙。从上面看,整个结构看不出什么异常–伪造面板采用与原始ATM机键盘相同的钢材和优质涂漆。 此外盗读者还使用另一项技术,用来保护解码和复制的信息。这也是盗读者用防范其他竞争同行和执法人员的方法。 一旦密码错误,盗读软件将无法提醒用户输入PIN码错误–只是简单地关机了事。一旦这些错误密码交给警察,盗读者完全可以辩解说这个程序是一种无害的小软件。这样的手段真是”高明”… 而想要证明这是这是用于犯罪活动,执法人员必须聘请有资质的专家来分析这些代码,而这将使一个艰苦且旷日持久的过程。 依照上述所说的,科技只是犯罪案件的一部分。许多盗读操作依然采用的是手动方法,且风险极高。在接下来的博客中,我们将详细论此类案件中这一部分内容,同时还将为您提供一些安全小贴士以保护银行账户避免落入犯罪分子之手。

安全转帐小贴士

虽然有时会有波及整个互联网的灾难性安全漏洞,但如今想要避免网上金融交易已经越来越不可能。你读到本篇文章的时候,很可能在操作网银、购物,或者是在进行网上转帐,最后一点正是下面我们要讨论的内容。 就安全性方面来说,网络良莠不齐,这并不是什么秘密。但毫无疑问是,执行网络金融交易非常方便,不管是通过网络付税、付停车费还是通过PayPal下注,都轻松自如。可以肯定地说,任何人只要试图通过网络转帐,就必定会面临大量风险,但同时,也有一长串网络操作常识有助于为了解目标搜索内容的用户提供保护。最后,我想无论是宽泛到整个互联网还是具体到本文中的转帐,网络总体来说是利大于弊。 保护自身安全 首先最重要的一点是,你得先确保计算机或移动设备的安全,之后再来担心交易本身带来的风险。首先是确保操作系统以及金融交易中可能涉及到的任何软件或应用均已更新到最新版本。如果是在传统计算机上操作,那么这意味着应保证运行的是最新的Windows或OSX系统,其他任何操作系统都不例外。对于Windows,应该设置为自动安装更新。对于Mac,只须关注App Store图标,一旦提示有更新,请立即安装所有更新。在传统计算机上,你肯定要仔细检查并确保使用的浏览器版本也是最新的,因为你可能会通过网络来执行这些交易。一旦确定操作系统和浏览器版本均为最新版本(通常可通过浏览器设置菜单中内容来轻松确定),就可以着手进行网络交易了。 请勿在公共工作电脑、公用计算机或朋友的设备上转帐。#卡巴斯基#小贴士 移动设备略有不同。在移动设备上,你同样需要保证使用的是最新版操作系统,不管是iOS、安卓、黑莓还是Windows Mobile,无论哪种操作系统都必须是最新版本。移动环境与台式机略有不同,在台式机上你可能不会通过网络执行交易。更可能的情况是,你会使用某种类型的转帐应用。所以,务必确保应用已完全更新。事实上,对转帐应用更新时,你同时会更新其他应用,因为攻击者总是能够通过其他一些薄弱应用来实现访问设备的目的。 之所以要保证已安装全部更新,原因在于安全更新能确保封锁大多数已知漏洞。当然,有一些漏洞出于某些原因并没有相应的补丁,但总体来说,要入侵已完整安装补丁的设备几乎不可能。当然,还有零日攻击,但只有傻子才会对抗零日攻击来略过标准消费者的网银信息。 为保护个人设备要做的最后一件事是确保在移动设备和传统计算机上运行可靠的反病毒程序。众所周知,恶意软件是针对PC机的问题,但显然现在越来越多的骗子瞄准了安卓平台,尤其是金融类恶意软件。运行反病毒软件将确保阻止旨在窃取个人支付信息的恶意软件进入要执行转帐的设备。此外,最优秀的反病毒软件产品提供有安全转帐功能,此功能针对可信网站白名单来运行支付网站,检查以确保与这些网站的连接是安全的,同时保证执行转帐的系统已安装补丁并且是安全的。 另外,切勿在无法控制的设备上执行转帐。如果工作电脑只供你一人使用,那没问题。但千万不要在公共工作电脑、公用计算机或朋友的设备上转帐。 保护网络安全 现在你的个人电脑应该没有问题也很安全了,接着应确保(至少是尽可能确保)要连接的网站也是安全的。为此很明显第一步是避免粗心的转帐服务。在此我没法假装知道所有可信转帐服务,但使用PayPal、MoneyGram、Western Union、Venmo和其他许多类似服务工具应该是安全的。具体用哪种服务取决于你自己,但一定要下点功夫去了解。 决定了使用的服务后,请确保该服务提供强大加密。检查地址栏,确保其中含有挂锁图标和”HTTPS”,这样做是为了确保通过加密通道传输任何信息。更新后您还可能希望检查证书(即便浏览器很可能已检查过)。除外之外,要小心可疑的条幅广告,其中很可能含有插件,会试图从浏览器会话中盗取信息。这就是为什么选择一种可靠的支付服务更加至关重要的原因。 如果使用的网站要求登录(我当然希望你登录了),请确保使用的是唯一的高强度长密码,密码由字母、数字、符号、空格和大写字母构成。这不是开玩笑。就密码问题我已写过很多篇文章,但我无法评判你用于登录向许多发件人发送的一次性电子邮件帐户是否是用低强度密码来保护。然而,如果不用最佳密码来保护计划用于处理资金的帐户可就太傻了。金融帐户须真正保证使用的是唯一的高强度密码(在此可检查密码强度)。 金融帐户须真正保证使用的是唯一的高强度密码。 假设您已使用了高强度密码,下一步则是在使用的任何网站上实施某种形式的双重认证。使用这种方法时,你得确认使用SMS或基于电子邮件的安全代码来确认登录。这种服务有两种作用:一是能加大进入您帐户的难度,二是能让你知道是否有人尝试访问你的帐户。如果你并未试图登录时收到双重认证的通知,则说明你该对计算机进行安全扫描并更改密码(因为这意味着很可能有人已取得你的密码,并正在尝试访问你的帐户)。 最后一件要做的是使用某种类型的交易担保方,例如”Visa验证”服务或”3D安全”技术验证。此类服务要求你在进行交易之前,另外输入一个一次性密码。 如果遵循上述所有步骤,并实时监控自己的银行帐户或信用卡余额,那么你的转账应该安全了。