游客

ETC盗刷恐慌:这才是最危险的!

游客 2016-12-16 17:03:58    201072 次浏览

最近几天,一段ETC卡被盗刷的视频在互联网上传播,引发了各方的关注。甚至引发了恐慌,笔者的ETC绑卡银行人工服务根本无法打进去。

各个银行分别站队澄清,甚至交通运输部路网监测与应急处置中心也立即下发了《关于应对ETC银行联名卡存在被盗刷风险的紧急通知》。

最近一段时间,特别是Apple Pay入华以后,现在新办理的银行卡几乎都支持闪付功能,而且基本都是小额免密码的。当闪付与ETC结合起来,就有了今天我们看到的视频。

这次事件到底是怎么回事?哪些卡会受到影响?不安全的仅仅是ETC吗?我们从信息安全的角度来做个解读。

一、ETC盗刷的真相

ETC本身是交通部门为了节省人力,方便车主开发的。ETC本身是交通行业专用的密钥体系,通过空中接口来完成支付。而用户是要给ETC里面充值的,这种卡除非破解了交通部门密钥,同时有交通部门空中接口的设备,否则是无法盗刷的,即使盗刷,刷的也是用户存进去的钱,不会有太大危害。

但是ETC在推广的时候逐渐发展出来其他模式,一种是交通行业与银行联合发行,客户持有一张交通行业单用途ETC卡和一张银行借记卡或贷记卡,车辆上使用的ETC卡不具备金融功能,仅仅用来记账,卡的支付通过关联的借记卡或者贷记卡,信用卡完成。这一种也需要空中接口,需要交通部门设备。这种也没有危险。

还有一种是交通行业与银行发行的二合一卡片。ETC卡本身也是一张银行卡,除了ETC的空中接口,也支持其他方式的支付。

如果只是芯片卡,必须插入才能使用,那么别人也无法盗刷,偏偏NFC流行以后,现在银行卡都是支持闪付的,这样只要有设备,接近卡就可以盗刷了。

如果仅仅是盗刷,刷了用户不确认无法结账,钱还是刷不走,而偏偏银行又给客户默认开通了300元以下的小额支取免密码的“小额免密面签”服务。于是就发生了视频中画面。

这种盗刷只有金额限制,没有次数限制,把你的钱刷空是轻而易举的。

视频中涉及的发卡行是广发银行。在其信用卡官方微信号“广发信用卡”中表示,此片中出现的POS机已查出是云浮加油站POS机。

理论上POS管理是严格的,实名的,有规定的,但是如果被犯罪分子盯上,已经发出去的POS机想要完全控制住是不可能的。

所以,办理了二合一ETC卡的用户,只要“小额免密面签”服务没有中止,就一直处于危险之中。

二、闪付的安全问题

这次与ETC卡同时被推上风口的还有银联在2015年10月推出的小额免密面签服务。

小额免密面签只适用于银联芯片卡,当持卡人使用带有“闪付”标识的银联芯片卡或支持“云闪付”的移动支付设备,在指定商户进行300元及以下金额的交易时(境内300元人民币,境外以当地限额为准),只需将银 联芯片卡或“云闪付”移动设备靠近POS终端感应区,一挥即可完成支付。

支付过程中,持卡人无需输入密码、无需签名,除了银行卡之外,此外,Apple Pay、Samsung Pay等新型移动支付方式,也都适用于小额免密免签,同时必须是与银行、银联合作的商家才可以使用小额免密面签功能。

目前,异常的免密免签交易,持卡人可以在发现异常后联系发卡银行申请补偿,因双免交易产生的否认交易,都可以得到赔付。

这种闪付业务为了方便采用免密码功能本身可以理解,但是免密码不等于可以不认证。Apple Pay、Samsung Pay好歹还有一个指纹可以验证,表明使用者知情。

闪付又没有密码,等于发起方和确认方都不需要持卡人,只要卡在,任何人就可以用支持闪付的POS机或者其他什么设备把钱转走,这太可怕的。

更可怕的是银行这项业务是默认开通的,而不是默认关闭,用户需要单独打电话或者到柜台才能关闭。

银行为了业务量,拿用户的安全开玩笑,默认给用户开通免密支付的服务,用户就处于危险之中。

ETC卡因为放在车上,远离持卡人成为目标,而带在身上的卡因为这种非接触、非认证的特性也很容易成为目标。

在公交卡时代,就有人带着打卡机去公交车上溜达,一元一元的刷公交卡的钱,而当NFC闪付的卡流行以后,这些人就可以300元、300元的刷了。

一趟地铁下来成为富豪,以现在电信诈骗的洗钱力度,在用户发现投诉,相关机构追查之前,钱早就没有了。

三、发行部门担责是解决办法

这次ETC事件,是银行默认给用户开通的闪付和小额免密。给了交通部门空中接口以外的支付手段,而银行的动机无非是完成任务,譬如发卡量一类的东西,拿用户的资金安全开玩笑。

解决的办法是谁发行谁担责任,用户没有要求开通的业务默认开通,出了问题就让银行来担责任。用户未作确认的支付(指纹、密码、短信等),用户可以随时取消,造成损失都由发卡行或者发行部门来负担。

现在不仅仅是ETC、闪付卡的问题,我们日常使用的各种互联网支付手段其实都不那么安全。很多网络支付工具小额也是免密码的。如果用户丢了手机,或者密码被撞库,很容易造成金融账户的严重损失。

前一段很流行的快捷支付也是如此,在盗取个人信息容易的情况下,个人信息泄露,不知不觉钱被盗走。

马克思说:“有100%的利润可以挺而走险,有300%的利润,可以践踏人间一切法律。”只要漏洞存在,就一定有人去利用。

对于银行、互联网公司来说,要有安全意识,不能为了自己任务拿用户的安全开玩笑。而对用户来说,新技术到来的时候多了解一点,保守一点没有坏处。

ETC盗刷恐慌:这才是最危险的!

内容加载中