芯片银行卡能刷卡吗怎么刷 芯片银行卡能刷卡吗装口袋安全吗
点击联系发帖人
时间:2017-07-05 05:48
&&&新闻热线:021-
芯片银行卡装口袋安全吗?
    近日,在第二届网络与信息安全博览会上传出,只要接近读卡器或者手机,IC芯片卡的信息就会被读取,包括卡号、最近交易内容,甚至身份证信息等。对此,银行业相关人士表示,芯片卡可被近距离读取,但是读取的信息有限。这些信息不能用于交易或复制伪卡,持卡人不必为此担心。    不需接触便可读取银行卡信息    日前,在第二届网络与信息安全博览会上,模拟黑客攻击的“安检门”成为亮点,而芯片卡的安全性也由此成为讨论热点。    据报道,参与者将钱包、手机放到安检筐里,空手通过“安检门”,其芯片银行卡的姓名、身份证号、卡号、卡片有效期、最近10次消费时间和消费地点、取现记录、转账记录等信息暴露无遗。    报道称,相关人士解释,实际上,存放手机、钱包的安检筐里存有一张具有NFC(近距离通信)功能的无线读卡器,旁边还有配套的信号接收器和电脑等设备,只要银行卡靠近读卡器,卡片的信息就能显示出来。    被盗信息有限,被盗刷风险小    博览会的试验,是否意味着市民在乘坐地铁、公交,或者说处于人多的公共场合之时,口袋里不能装银行卡?对此,银行业内人士表示,芯片卡确实可被读取,但不可被复制。    一银行业内人士表示,芯片卡是目前全球安全性最高的银行卡,迄今世界上还没有发生过使用芯片银行卡被盗刷的案例。现在,一些机器能读取芯片卡的部分卡片信息,但是凭借这些有限信息盗刷持卡人银行卡,成功率是非常低的。    而对于网上无卡支付,该业内人士指出,除芯片卡相关信息外,还要求持卡人提供支付密码、卡背面后三码、短信验证码等多重信息,仅凭这些读取的信息并不能完成网上交易,信息被恶意使用的可能性也低。    该业内人士还说:“如果不想信息被读取,可在网上买一个锡纸卡套装在芯片银行卡上,网上能买到。”(张佳峰)
东方网()版权所有,未经授权禁止复制或建立镜像
芯片银行卡装口袋安全吗?
日 13:27 来源:东方网
    近日,在第二届网络与信息安全博览会上传出,只要接近读卡器或者手机,IC芯片卡的信息就会被读取,包括卡号、最近交易内容,甚至身份证信息等。对此,银行业相关人士表示,芯片卡可被近距离读取,但是读取的信息有限。这些信息不能用于交易或复制伪卡,持卡人不必为此担心。    不需接触便可读取银行卡信息    日前,在第二届网络与信息安全博览会上,模拟黑客攻击的“安检门”成为亮点,而芯片卡的安全性也由此成为讨论热点。    据报道,参与者将钱包、手机放到安检筐里,空手通过“安检门”,其芯片银行卡的姓名、身份证号、卡号、卡片有效期、最近10次消费时间和消费地点、取现记录、转账记录等信息暴露无遗。    报道称,相关人士解释,实际上,存放手机、钱包的安检筐里存有一张具有NFC(近距离通信)功能的无线读卡器,旁边还有配套的信号接收器和电脑等设备,只要银行卡靠近读卡器,卡片的信息就能显示出来。    被盗信息有限,被盗刷风险小    博览会的试验,是否意味着市民在乘坐地铁、公交,或者说处于人多的公共场合之时,口袋里不能装银行卡?对此,银行业内人士表示,芯片卡确实可被读取,但不可被复制。    一银行业内人士表示,芯片卡是目前全球安全性最高的银行卡,迄今世界上还没有发生过使用芯片银行卡被盗刷的案例。现在,一些机器能读取芯片卡的部分卡片信息,但是凭借这些有限信息盗刷持卡人银行卡,成功率是非常低的。    而对于网上无卡支付,该业内人士指出,除芯片卡相关信息外,还要求持卡人提供支付密码、卡背面后三码、短信验证码等多重信息,仅凭这些读取的信息并不能完成网上交易,信息被恶意使用的可能性也低。    该业内人士还说:“如果不想信息被读取,可在网上买一个锡纸卡套装在芯片银行卡上,网上能买到。”(张佳峰)股票/基金&
揭秘银行卡复制盗刷流水线 芯片卡亟待普及
作者:闫瑾 孟凡霞
2. 将采集器装在ATM机的插卡口处
1. 在取款机附近安装微型摄像机
3. 有人用在ATM机上交易,采集器会记录信息
4. 收集的信息将被传送到电脑,并通过特殊软件解读出来
5. 将卡信息通过银行卡复制器“写”入空白卡,制造出一张全新的银行卡盗取卡内现金
当你用某商铺POS机刷卡消费时、当你用银行的ATM机取现或转账时、当你进行网络购物时,也许你的银行卡信息已被窃取了!银行卡复制并盗刷的案件成倍蹿升,让持卡人战战兢兢。近日竟然还有不法分子公开在网上叫卖银行卡复制器。银行卡复制生产链如何运作?持卡人有没有办法杜绝被盗刷的悲剧?
销售: 网上兜售银行卡复制器
在网络搜索引擎上,随便键入“银行卡复制器”、“银行卡解码器”等关键词,就能找到很多广告帖,“包教包会”、“终身技术支持”等词语非常醒目。
一家名为香港××电子设备有限公司的网站,竟然把一些银行卡盗刷的案例放在推荐栏目中,用来宣传“复制器”的功效。
记者以买家身份与其取得联系,该网站人员告诉记者,银行卡复制器的价格为9500元一套。
新客户第一次交易必须预付50%的定金,款到后快递发货,制卡后7日内补齐其余50%货款。该人士说:“既然你想靠这个发财赚钱,那你就必须得有抗这个风险的能力。我们的设备都是从马来西亚越境来的,而且现在和警察查得越来越严,必须先给定金才发货。”
记者随后与另一银行卡复制设备售卖的人员进行接触。对方表示,所出售的设备全套8500元,包括银行卡复制器、银行卡信息数据采集器、微型无线摄像头、银行卡专业制作软件、空白卡、芯片数据连接线等。该卖家声称:“复制一张卡最多只需要两分钟就能搞定。买设备的这点钱"做"一笔就能回本。”
复制盗刷: 先窃信息再复制卡片
在这些卖家的口中,银行卡复制是个一本万利的买卖,一学就会,卖家能长期提供技术支持。那么,复制器究竟是如何拷贝银行卡?不法分子又是如何窃走持卡人血汗钱的?
一位山东的复制器卖家告诉记者,银行卡是由一定材料的片基和均匀地涂布在片基上面的微粒磁性材料制成的。简单地说,银行卡读写器和银行卡的关系就好比录音机和磁带的关系。
其中最为关键的是数据采集器,只要磁卡从它的读取槽内划过,银行卡信息就会被窃取。这位卖家称,银行卡数据采集器小得可以放到口袋里,可以存贮2048条磁卡信息,既不用连接电脑,也无需外接电源,仅靠一个1.5V的电池驱动。
在复制银行卡之前,需要先把数据采集器安装在银行的ATM机、自助银行的门禁系统、商户POS机等设备上。当有人利用这些设备取款或者刷卡时,事先隐藏好的读卡器就能记录银行卡的账号信息。摄像头是为了拍下持卡人的银行卡密码,也要事先安排在隐蔽处。
不法分子通过数据采集器和摄像头获得持卡人的银行卡信息和密码后,下一步就是复制银行卡。首先复制银行卡内码信息,把内码信息传到软件上,通过软件将内码信息转换为可写格式,最后连接银行卡复制器,将信息写到空白卡上。为了加大警方破案难度,犯罪团伙往往在A市采集信息,利用网络将信息传递到B市,并在当地复制和盗刷。这也是异地盗刷频繁发生的原因。
措施:防止泄露任何银行卡信息
银行卡内资金“不翼而飞”,很多遭遇盗刷的持卡人都急切地需要解决办法。其实,从源头上避免卡片信息的泄露才是必须的。持卡人要注意,即使你不泄露密码也会造成被盗刷,身份证号、银行卡背后的签名都可能成为不法分子获得密码的工具,所以持卡人尽量到正规银行网点的自助银行取款,在商场等公共场所设置的ATM机取现等交易时,一定要小心谨慎,除了注意周围人、用手遮挡输入密码,打印的凭条也不要随意丢弃。
同时,在取款前,如果发现ATM机上有多余的装置或摄像头,插卡口或出钞口有异常情况,请不要使用。不过,也有在消费过程中,收银员“暗箱操作”的情况,所以持卡人在商场、饭馆刷卡消费时,切勿让银行卡离开视线范围,留意收银员的刷卡次数。刷卡后,不要在空白签账单或未填妥金额的签账单上签上本人姓名。
某股份制银行个人银行部相关负责人建议,持卡人应该开通短信提醒功能,只要卡内资金发生变动,立刻就会收到提示短信,防止更大额度的资金损失。如果是的使用客户,这一点就更加必要。同时,在进行网络购物时,除了要用U盾保护安全,最好使用短信验证的支付方式,在交易时必须获得信用卡中心发来的验证码才能成功交易。
呼吁:芯片卡安全性高亟待普及
磁条卡本身的技术漏洞、信用卡网络支付风险、个人信息的泄露都是盗刷频发的“引擎”。其实,“银行卡复制器”是不允许销售的,如果他们的经营行为达到一定额度,就涉嫌非法经营,但是目前在层级还没有针对性的法律条款来约束。
现在和各大金融机构都在推行金融IC卡,即芯片卡。日后我们手中的磁条卡可能就会被芯片卡所取代。央行最新的消息显示,从明年1月1日起,全国性商业银行均要发行金融IC卡。截至今年上半年,全国已累计发行金融IC卡4500多万张,较去年底增加2070万张,增幅达85%。年底前实现金融IC卡在增量发卡中占比超过15%。
特别是在盗刷频发的现在,芯片卡的推行也迫在眉睫。磁条卡应用广泛,但其存在着明显的不足,信息存储量小、磁条易读出和伪造、保密性差,容易被犯罪分子盗取磁条上的资料。芯片卡为何能有效地规避风险呢?副行长介绍,和磁条卡相比,芯片卡能存储加密的机密数据,能防止卡内数据被复制,具有更高的安全性。
商报记者 闫瑾 孟凡霞/文 宋媛媛/制图
业内新闻
理财资讯
07/18 08:2207/21 11:2307/21 10:4907/20 18:2607/20 08:2407/20 02:2707/20 00:4607/19 13:24
银行精品推荐
特色数据库:
精品栏目:
每日要闻推荐
社区精华推荐
精彩专题图鉴
【免责声明】本文仅代表作者本人观点,与和讯网无关。和讯网站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。你的银行卡为什么会被盗刷?
你的资金正在被威胁!日
15:30&&&&&&来源:毒霸安全月报
在完全不知情的情况下,有了一笔2000英镑的海外消费
被盗刷的银行卡
近日,我们收到有用户反馈说自己银行卡里的钱在完全不知情的情况下被一个叫做“北京帮付通科技有限公司”的公司划走,购买了彩票。他联系帮付通的客服人员,对方解释说,他们公司是提供第三方交易的平台,只要确认客户提供的银行账号、身份证号、密码等相关信息正确,就能通过网络平台进行正常的支付交易。而对于操作者是否为本人,公司无法核实确认。
随后我们了解到,早在2003年就有用户遭遇了同样的事情。受害用户甚至成立了“北京帮付通受害交流”的群来共同维权。
杭州的任先生利用年休假和五一小长假携家人到马来西亚兰卡威度假。结果回到杭州以后,就接到所持信用卡发卡行的客服电话,称其境外度假期间刷卡次数较多,为安全起见,建议他到银行免费更换新卡或更换信用卡磁条。
事实上,经常有出境人员回国后一段时间发现自己的信用卡在国外被盗刷了。尤其是东南亚国家,此类事件特别频发。以马来西亚为首,新加坡、泰国等国都有可能是盗刷的发生地。
新华社南京2014年3月11日电,江苏泰兴的王先生只是扫了一下二维码,银行卡就被盗刷9万多元,而银行和支付宝的短信提示就像失灵了一样。据我们了解,王先生应该是中了二维码中植入的木马病毒。
面对频发的银行卡安全事件,我们必须增强银行卡资金安全方面的意识,认识到,银行卡账户的风险是无处不在的,你的资金正在被威胁。
磁条卡天生不安全
业内人士称,磁条卡有很大的安全隐患,非常容易被复制。事实上,复制一张磁条卡只需要几十秒的时间。犯罪分子们只要在刷卡的POS机器上动动手脚,偷偷安装一套读卡器,就可以把磁条信息读取并记录下来。犯罪分子随后再把信息压印到一张空白磁条中,就得到了一张功能一模一样的“复制卡”。
而网上居然有人兜售这样的设备。所出售的设备包括银行卡复制器、银行卡信息数据采集器、微型无线摄像头、银行卡专业制作软件、空白卡、芯片数据连接线等。卖家甚至还宣传“包教包会”、“终身技术支持”。根据业内人士的介绍,这些设备中最为关键的是数据采集器,只要磁卡从它的读取槽内划过,银行卡信息就会被窃取。这种银行卡数据采集器小得可以放到口袋里,最多可以存贮2048条磁卡信息。
犯罪分子在复制银行卡之前,需要先把数据采集器安装在银行的ATM机、商户POS机等设备上。当有人使用这些设备时,读卡器就能记录磁条银行卡的账号信息。犯罪分子还可能会使用隐藏的微型摄像头拍下持卡人的银行卡密码。
犯罪团伙还会组织专人“潜伏”酒楼、宾馆和KTV等高档消费场所当服务员,当持卡人在消费埋单时,乘机利用侧录机盗取刷卡人的银行卡磁条信息,并窥取其密码。当收集一批银行卡信息后,立即辞职走人。或者花钱购买此类信息:
为了加大警方破案难度,早期的时候,犯罪团伙往往在A市采集信息,利用网络将信息传递到B市,并在当地复制和盗刷;而现在更是已经发展为了异国盗刷。跨国的犯罪更加难以追踪,这无疑使得我们更加难以维护自己的权益。另外国外的刷卡常常走的是VISA或者MasterCard的通道,而这两个通道在刷卡时是不要支付密码的。这就更加减少了窃取支付密码的步骤。因此,在国内办的双币信用卡或者双币借记卡(国际借记卡)一旦被复制,后果不堪设想。
根据广东警方的统计数据,这种克隆银行卡犯罪占到了整个广东省2013年度经济犯罪总数的的40%。2013年12月24日,广东多个市公安局联合开展打击银行卡犯罪“海燕1112”专案收网行动,对省内克隆银行卡犯罪进行全链条打击。此次行动共打掉犯罪团伙8个,抓获犯罪嫌疑人54名,缴获POS机51台,侧录器35台,涉案银行卡1056张,现金赃款45万元。其他作案设备还包括制卡机、压卡机和读卡器等。警方指出,侧录机、制卡设备等均是可购买的民用设备,目前并未纳入监管范围,给犯罪分子留下作案空间。这些设备价格便宜,购置整套作案设备仅需7000多元,犯罪成本极低。
由于磁条卡存在天生的安全隐患,央行规定从2013年1月1日起,全国性商业银行均应开始发行金融IC卡,也就是芯片卡。这种芯片卡安全性能较强,通过先进的芯片加密技术,能够有效降低银行卡被复制等金融欺诈事件。虽然目前为了兼容老的设备,银行发行的都是磁条+IC芯片的银行卡,仍然很容易被复制磁条,但是根据央行日下发的《关于逐步关闭金融IC卡降级交易有关事项的通知》,在2014年10月底以后,这一类银行卡将会关闭磁条的功能。到2015年,银行就会停发磁条卡。到那时,磁条卡带来的负面影响才会完全消失。
而我们现在也可以找银行申请,将手里的磁条卡换成IC芯片卡。
无需密码和U盾也可以完成支付
犯罪分子有时其实并不需要复制一张卡片。只要知道一些卡面信息,就可以完成支付。
以上为除了协议扣款(缴纳学费、水电费、通讯费等)以外的支付渠道。我们可以看到,用户的资金可以通过三条途径流向商户:银行直接到商户、通过银联这样的支付网关、通过第三方的协议支付机构。
有人认为有了支付密码,有了银行的U盾自己的资金就安全了,但事实上,U盾是银行自己的安全措施,只会在网银支付一条途径中使用,无论是刷卡支付、无卡支付还是快捷支付都不需要使用U盾。而支付密码也仅仅是网银支付和POS机刷借记卡支付时才必须使用,在其他的渠道可能根本不会使用到。比如扣学费、交水电费、通信费、购买基金的时候,这些公司就可能可以不需要密码直接扣款,另外,像支付宝、微信支付这样的第三方快捷支付公司也可以直接扣款而不需要密码。
信用卡则支持更多形式的无卡无密支付。一般来说,一张信用卡会有以下信息:卡号、持卡人姓名、有效期、CVV2(仅信用卡)、密码(银联的支付密码,或者VISA/MasterCard的3D支付的PIN)、银行预留的手机号码等。用户把信用卡卡号,以及附加信息中的若干项目提供给亚马逊、苹果商店这样的商家以后,由这些商家向银联、VISA这样的卡组织和发卡银行完成验证。完成验证之后商家便可以随时从用户的信用卡中扣款。这种无卡支付是国际上的一种标准的支付途径,是一种方便的支付方式,无论是在网上支付还是通过电话支付都可以使用。
而这种方便就带来了安全方面的隐患。虽然无论是VISA还是银联都严令商家不得储存卡片有效期或者CVV2这样用户敏感信息,但是拿到用户的信息之后是否不保存完全取决于商户的自觉。今年年初的携程网用户信用卡信息泄露事件就很好地说明了这一点。
有时我们需要电话预订酒店或者机票,这时对方可能要求我们在电话里提供信用卡卡号、有效期、CVV2等信息。这个接电话的客服就同时得到了我们的信用卡的相关信息。另外,我们在超市使用信用卡刷卡时,超市收银员也可能会看到并记下我们信用卡的有效期和CVV2。之后他们就可以使用这些信息,使用我们的信用卡直接进行支付。因此,在电话预定酒店的时候最好使用身份证号码而不是信用卡信息。
如果我们害怕风险不愿意在网上提供自己的信用卡信息给商家,可以考虑使用银联在线支付,这种网上支付的方式不同于各个银行自己的网银支付,是一种统一的无卡支付的方式。通过银联的支付网关,用户在网上支付的时候会跳转到银联的网站上,然后将信用卡或者借记卡的信息提供给银联而不是商家来完成支付。
然而银联在线支付并不能防止其他形式的卡信息泄露,比如上面说的超市收银员瞄到CVV2。磁条卡换IC芯片卡只能解决复制卡的问题,对于这种卡片信息泄露帮助不大。因此注意保护自己的卡信息很重要。
第三方快捷支付:到底安全吗?
用户在网上支付时,很多商家都是素未蒙面的,用户不愿意将信息提供给这样的商家,于是有了第三方支付平台。最早一批的第三方支付平台,比如PayPal,在1998年就已经出现。用户的信用卡信息保存在这样的第三方平台上,由这些第三方的平台来进行扣款并提供给商家,保护了用户的信用卡信息。严格来说,银联认证支付也是扮演的这样一种第三方支付平台的功能。
后来,由于借记卡的流行,第三方支付平台开始支持使用借记卡付款。但使用借记卡付款往往不能使用这种“无卡无密支付”的支付方式,而是需要跳转到银行的网银页面进行付款。这样反而增加了操作的复杂度。另外,在国内的网银支付还存在只能使用Windows平台和IE浏览器等缺点。在这种情况下,2010年底支付宝公司联合银行推出“快捷支付”功能,支付宝可以直接从用户的银行账户扣款而无须通过网银。
快捷支付的流程如下:
1.&用户提供信息,支付宝与银行签约开通快捷支付
2.&用户购买商品时,与支付宝交互
3.&支付宝直接从银行扣款给商户
无论是借记卡还是信用卡,在开通了快捷支付以后,支付宝公司就可以随时直接扣款了。由于这种方式并不通过网银,因此不会用到银行的支付密码或者U盾。
那么,像这样的第三方快捷支付是否安全呢?首先我们必须假设像支付宝或者微信支付这样的大公司的信誉应该是没有问题的。然后我们可以从攻击者的角度去考虑这个问题。
首先,如果攻击者盗取了用户的支付宝,那么就可以随便盗取钱财了。为此,支付宝设计了登录密码和支付密码双密码的策略,同时提供了支付时短信验证,以及证书U盾的功能来防止账号被盗。因此,这方面的风险应该是比较小的。于是攻击者的攻击方法集中到了两个方面,试图利用攻击者注册的账号绑定用户的银行卡,以及利用社会工程手段获得用户的手机、手机验证码等。
我们已经知道,在第三方快捷支付的开通过程中,主要是第三方支付公司和银行进行交互,因此我们很有可能完全不知道自己的银行账号被开通了快捷支付。随着时间的推移,支付宝、微信支付这样成熟的互联网支付公司逐渐建立起一套完备的安全体系,杜绝了绝大部分盗用他人银行帐号的问题。应该说这些知名公司的快捷支付在机制上应该是比较安全的。然而更早的时候并不是这样。支付宝、微信支付在早期也都被媒体报道曾经存在过各种各样的问题,比如不需要真正验证手机号码就可以绑定银行卡,支付过程完全不提示用户等。
另外,并不是所有的第三方支付公司都像支付宝或者微信支付这样。比如我们发现,银联在线的快捷支付功能在使用某些银行的银行卡时,即使不需要输入正确的银行预留的手机号也可以进行小额支付。因此即使我们从来不使用第三方支付,通过使用这样不进行严格身份验证的第三方支付平台,犯罪分子只要知道我们的银行卡号、身份证号,然后利用一个新的手机号,就可能可以在一些不知名的第三方支付平台随意绑定我们的银行账号进行快捷支付,就像上文的案例中,用户的资金在完全不知情的状况下被帮付通划走一样。
为了取得一些信息,我们还特别联系了一些打这些广告声称“出售技术”的人,以下是一些聊天记录:
以下是与另一个人的聊天记录:
更令人难以置信的是,当我们询问银行是否可以禁止开通快捷支付时,银行竟然回复不能禁止,这样我们就只能每天提心吊胆,祈祷自己的资金不被划走!真正应了网上的一句话:“你的存款还呆在银行账户里,是因为罪犯顾不上取”。
我们可以知道,网上宣称的所谓的第三方快捷支付不安全的漏洞,其实是银行方面的漏洞。银行允许第三方支付公司不需要严格的身份验证就可以开通快捷支付,银行在快捷支付开通和扣款过程中没有通知用户,银行没有提供设置选项给用户对快捷支付进行统一管理,或者完全禁用。把问题全部推给第三方支付公司是不负责任的。
当然对于我们一般用户来说,注意到第三方快捷支付可能存在的这些安全问题是非常重要的,毕竟这关系到我们的资金安全。
不加密的网络
然而安全的威胁还不仅如此。近日,关于WIFI的安全引起了人们的关注,央视《消费主张》和《每周质量报告》栏目均报道了关于WIFI钓鱼的安全事件。
长久以来WIFI网络的安全问题就收到人关注。安全人员关注的焦点是:没有密码的WIFI网络,其数据传输也是不加密的。另外,由于WIFI的开放性,任何人都能连接进同一个不加密的WIFI。在这样的情况下,我们的通讯就像在公共场合大声说话一样,只要想听,无论是谁都可以听得一清二楚。
加密的网络由于多了一个需要输入密码的步骤,因为传输有了加密,使得安全性大大提升。但也因此在便利性上有了一定的损失,如果用来做公共WIFI比如政府、运营商或者星巴克、麦当劳的免费WIFI,会带来一些操作上的麻烦,比如需要把密码告知每个用户。由于WIFI的设计,这里的安全性和便利性是不可得兼的。
笔者在香港时发现,香港政府的免费WIFI有两个,一个是不需要密码的WIFI,另一个是需要密码才能连接的WIFI。用户第一次连接时,由于不知道密码,所以只好连接不需要密码的WIFI,这时候会自动弹出一个页面,告知另一个WIFI的密码,并告诉用户,不需要密码的WIFI可能有安全隐患,用户应该连接另一个需要密码的WIFI。
在国内,大部分的公共WIFI,包括移动的CMCC,联通的ChinaUnicom,电信的ChinaNet,以及麦当劳、必胜客等商家,政府机关、火车站、飞机场的公共WIFI,都是不需要密码的。也就是说,一旦我们使用了这些WIFI,在同一个WIFI网络里的犯罪分子就可以轻易截获我们的通信,拿到我们的账号密码信息,甚至劫持我们的通信,把我们导到钓鱼网站上去。一些详细的情况,可以参考稍早时的新闻《危险的WIFI》。
必须注意的是,这里说的加密WIFI,指的是需要密码才能连接的WIFI,而不是像CMCC这样,连接上以后才提示需要输入密码给移动才能继续访问网页的WIFI。
那么,我们难道就只能坐看自己的账号密码被人偷走吗?就没有其他什么办法吗?有的,答案就是SSL(TLS)。访问网页时,我们应该尽量访问使用了SSL的HTTPS页面,而在使用其他应用比如电子邮件时,我们也应该尽量使用支持SSL加密的服务器。
很久以前,安全研究人员就意识到,只有实现端到端的加密才能真正确保传输的安全。在使用了SSL的页面上提交账号密码,可以确保这些信息不会被犯罪分子窃听到,即使是在一个不加密WIFI的环境下。
有的网站开发者可能会问:我的网站会把密码使用Javascript加密以后再传输,这样犯罪分子就窃取不到用户的密码了。但是事实上真的是这样吗?这就涉及到SSL的另外两个功能:身份认证和防篡改。我们看下图:
正常情况下,用户是无法识别内容是来自真正的服务器还是第三者的。除此之外,攻击者也可以不冒充服务器,而是在中间对通信的内容进行篡改:
如上图,国内某知名购物网站没有使用HTTPS加密连接。因此犯罪分子完全可以通过劫持流量的方法,进行页面的篡改,将上图方框中的提交用户名密码部分的HTML和JS代码修改成提交给他们自己的网站。
而在使用了SSL的情况下呢?
我们看到,SSL通过使用可信机构颁发的数字证书,解决了不加密的WIFI网络可能存在的劫持的问题。
此外,使用了SSL的通信还会使用数字签名算法来对网页的内容进行校验,即使是一个字节的不同,也会导致数字签名校验不通过,浏览器会直接提示网页被篡改了。
SSL的设计者花费了很长的时间来思考Internet上的安全和隐私相关的问题,最终得到了妥当的解决方案,因此,特别是在公共的不加密WIFI这种危险的环境中,使用HTTPS无论什么时候都是一种好的方式。
国外对于安全方面的研究和实践都走在前列,我们看到重要的网站都全程使用了SSL/TLS:
如果你在上面看到某个陌生的网站,请不要觉得奇怪,因为那个网站其实是不存在的。
而与之相反,国内的网站,即使是某些市值或者估值千亿美圆的公司,在这方面的安全意识也令人遗憾,除了上面的某购物网站以外:
那么我们应该怎样做呢?首先我们在用PC和手机访问网页的时候,尽量不要访问一些敏感的,可能泄露个人信息的网页。实在需要输入用户名和密码时,一定要确认两点:网址使用了SSL加密(网址以HTTPS打头),以及SSL证书有效:
另外有一点需要特别注意的是,如果你连接了不加密的WIFI,那么一定要注意手机系统上的邮件客户端。因为邮件客户端是需要经常和服务器连接的,一旦打开了邮件客户端,或者邮件客户端常驻在后台运行,而你使用的服务器不支持SSL连接,或者你在配置的时候没有勾选使用SSL连接,你的密码就会直接暴露在外,任何人都可以看到。特别的,如果你的手机上设置了自动连接WIFI,然后你的手机自动连接上这个不加密的WIFI,邮件客户端在后台自动连接服务器——你的密码就在不知不觉中泄露了。因此一定要选大厂商的邮件服务,在任何时候都要勾选“使用SSL”。
谁在窥视你的密码和验证码?
木马病毒,他们在窥视你的资金。
还记得文章开头那个扫二维码导致9万多元被盗的案例吗?这个是什么原理呢?
其实,每个二维码都是一个字符串,攻击者利用的二维码解释出来是一个网址,于是扫码软件就调用手机浏览器去打开这个攻击者的网站。Android系统有不少已知的漏洞,而攻击者的网站利用了这些漏洞,当Android自带浏览器访问这个网站时,漏洞被触发,浏览器下载一个病毒APK安装。
这个病毒被安装以后,就潜伏在后台,之后的动作就简单了,病毒可以通过很多方法达到目的,比如劫持网页,把用户访问的网页替换成攻击者的网页;或者替换应用,卸载掉用户本来的手机银行、支付宝等客户端,然后替换成病毒作者自己的客户端,这样用户使用时就把密码输入给了病毒作者。
病毒还可以做什么呢?它可以把你的手机号码发送给病毒作者;它可以拦截、查看你所有的短信记录,包括银行的验证码短信;它可以伪装成银行、公安、电信,用他们的号码(比如10086)给你自己发送一条短信,而你根本无法区分这种短信是不是真的来自10086;病毒可以以你的名义给你通讯录里的联系人发送短信,让他们打钱到病毒作者的账号……总之,只有你想不到,没有它做不到。
除了扫描二维码打开网页可能会导致Android手机中病毒以外,我们还注意到,有些Android病毒也会利用手机短信传播,点击短信中的链接,即有可能被植入病毒,其原理和二维码网页的原理一样。
我们已经发现的一些种类的Android手机病毒如下:
由于国内的很多手机厂商都是使用的自己定制的ROM,在Google发布新版本的Android的时候不能及时升级,因此,这种手机漏洞+木马病毒的攻击方法威胁更大。
很显然,除了Android上的木马病毒以外,PC上的木马病毒同样对你的银行账户虎视眈眈。
使用毒霸保护你的资金安全
那么,有什么方法可以帮助我们,在一定程度上保护我们的资金安全呢?
目前发生的多起盗刷事件,多数是因为用户的信息泄漏导致的,那么哪些渠道会导致用户的信息泄露呢?
那么应该如何防范这类威胁了?
在超市或者酒店中刷卡,一定要保证卡在自己可以看见的范围,并保护好自己的密码,以防被人复制或者记录。
安装毒霸,防止被淘宝木马或者其他病毒窃取您的个人信息。
在连接公共wifi时,不要输入自己的银行卡账户密码等敏感信息,并安装手机毒霸等安全软件,保护您的手机安全。
另外,当你开启金山毒霸进行网购而导致资金被病毒木马盗取的话,毒霸可在敢赔险的范围内赔付您的损失。
a.&银联安全用卡攻略:
b.&SSL相关知识:
c.&《危险的WIFI》
已投稿到:}
芯片银行卡装口袋安全吗?
    近日,在第二届网络与信息安全博览会上传出,只要接近读卡器或者手机,IC芯片卡的信息就会被读取,包括卡号、最近交易内容,甚至身份证信息等。对此,银行业相关人士表示,芯片卡可被近距离读取,但是读取的信息有限。这些信息不能用于交易或复制伪卡,持卡人不必为此担心。    不需接触便可读取银行卡信息    日前,在第二届网络与信息安全博览会上,模拟黑客攻击的“安检门”成为亮点,而芯片卡的安全性也由此成为讨论热点。    据报道,参与者将钱包、手机放到安检筐里,空手通过“安检门”,其芯片银行卡的姓名、身份证号、卡号、卡片有效期、最近10次消费时间和消费地点、取现记录、转账记录等信息暴露无遗。    报道称,相关人士解释,实际上,存放手机、钱包的安检筐里存有一张具有NFC(近距离通信)功能的无线读卡器,旁边还有配套的信号接收器和电脑等设备,只要银行卡靠近读卡器,卡片的信息就能显示出来。    被盗信息有限,被盗刷风险小    博览会的试验,是否意味着市民在乘坐地铁、公交,或者说处于人多的公共场合之时,口袋里不能装银行卡?对此,银行业内人士表示,芯片卡确实可被读取,但不可被复制。    一银行业内人士表示,芯片卡是目前全球安全性最高的银行卡,迄今世界上还没有发生过使用芯片银行卡被盗刷的案例。现在,一些机器能读取芯片卡的部分卡片信息,但是凭借这些有限信息盗刷持卡人银行卡,成功率是非常低的。    而对于网上无卡支付,该业内人士指出,除芯片卡相关信息外,还要求持卡人提供支付密码、卡背面后三码、短信验证码等多重信息,仅凭这些读取的信息并不能完成网上交易,信息被恶意使用的可能性也低。    该业内人士还说:“如果不想信息被读取,可在网上买一个锡纸卡套装在芯片银行卡上,网上能买到。”(张佳峰)
东方网()版权所有,未经授权禁止复制或建立镜像
芯片银行卡装口袋安全吗?
日 13:27 来源:东方网
    近日,在第二届网络与信息安全博览会上传出,只要接近读卡器或者手机,IC芯片卡的信息就会被读取,包括卡号、最近交易内容,甚至身份证信息等。对此,银行业相关人士表示,芯片卡可被近距离读取,但是读取的信息有限。这些信息不能用于交易或复制伪卡,持卡人不必为此担心。    不需接触便可读取银行卡信息    日前,在第二届网络与信息安全博览会上,模拟黑客攻击的“安检门”成为亮点,而芯片卡的安全性也由此成为讨论热点。    据报道,参与者将钱包、手机放到安检筐里,空手通过“安检门”,其芯片银行卡的姓名、身份证号、卡号、卡片有效期、最近10次消费时间和消费地点、取现记录、转账记录等信息暴露无遗。    报道称,相关人士解释,实际上,存放手机、钱包的安检筐里存有一张具有NFC(近距离通信)功能的无线读卡器,旁边还有配套的信号接收器和电脑等设备,只要银行卡靠近读卡器,卡片的信息就能显示出来。    被盗信息有限,被盗刷风险小    博览会的试验,是否意味着市民在乘坐地铁、公交,或者说处于人多的公共场合之时,口袋里不能装银行卡?对此,银行业内人士表示,芯片卡确实可被读取,但不可被复制。    一银行业内人士表示,芯片卡是目前全球安全性最高的银行卡,迄今世界上还没有发生过使用芯片银行卡被盗刷的案例。现在,一些机器能读取芯片卡的部分卡片信息,但是凭借这些有限信息盗刷持卡人银行卡,成功率是非常低的。    而对于网上无卡支付,该业内人士指出,除芯片卡相关信息外,还要求持卡人提供支付密码、卡背面后三码、短信验证码等多重信息,仅凭这些读取的信息并不能完成网上交易,信息被恶意使用的可能性也低。    该业内人士还说:“如果不想信息被读取,可在网上买一个锡纸卡套装在芯片银行卡上,网上能买到。”(张佳峰)股票/基金&
揭秘银行卡复制盗刷流水线 芯片卡亟待普及
作者:闫瑾 孟凡霞
2. 将采集器装在ATM机的插卡口处
1. 在取款机附近安装微型摄像机
3. 有人用在ATM机上交易,采集器会记录信息
4. 收集的信息将被传送到电脑,并通过特殊软件解读出来
5. 将卡信息通过银行卡复制器“写”入空白卡,制造出一张全新的银行卡盗取卡内现金
当你用某商铺POS机刷卡消费时、当你用银行的ATM机取现或转账时、当你进行网络购物时,也许你的银行卡信息已被窃取了!银行卡复制并盗刷的案件成倍蹿升,让持卡人战战兢兢。近日竟然还有不法分子公开在网上叫卖银行卡复制器。银行卡复制生产链如何运作?持卡人有没有办法杜绝被盗刷的悲剧?
销售: 网上兜售银行卡复制器
在网络搜索引擎上,随便键入“银行卡复制器”、“银行卡解码器”等关键词,就能找到很多广告帖,“包教包会”、“终身技术支持”等词语非常醒目。
一家名为香港××电子设备有限公司的网站,竟然把一些银行卡盗刷的案例放在推荐栏目中,用来宣传“复制器”的功效。
记者以买家身份与其取得联系,该网站人员告诉记者,银行卡复制器的价格为9500元一套。
新客户第一次交易必须预付50%的定金,款到后快递发货,制卡后7日内补齐其余50%货款。该人士说:“既然你想靠这个发财赚钱,那你就必须得有抗这个风险的能力。我们的设备都是从马来西亚越境来的,而且现在和警察查得越来越严,必须先给定金才发货。”
记者随后与另一银行卡复制设备售卖的人员进行接触。对方表示,所出售的设备全套8500元,包括银行卡复制器、银行卡信息数据采集器、微型无线摄像头、银行卡专业制作软件、空白卡、芯片数据连接线等。该卖家声称:“复制一张卡最多只需要两分钟就能搞定。买设备的这点钱"做"一笔就能回本。”
复制盗刷: 先窃信息再复制卡片
在这些卖家的口中,银行卡复制是个一本万利的买卖,一学就会,卖家能长期提供技术支持。那么,复制器究竟是如何拷贝银行卡?不法分子又是如何窃走持卡人血汗钱的?
一位山东的复制器卖家告诉记者,银行卡是由一定材料的片基和均匀地涂布在片基上面的微粒磁性材料制成的。简单地说,银行卡读写器和银行卡的关系就好比录音机和磁带的关系。
其中最为关键的是数据采集器,只要磁卡从它的读取槽内划过,银行卡信息就会被窃取。这位卖家称,银行卡数据采集器小得可以放到口袋里,可以存贮2048条磁卡信息,既不用连接电脑,也无需外接电源,仅靠一个1.5V的电池驱动。
在复制银行卡之前,需要先把数据采集器安装在银行的ATM机、自助银行的门禁系统、商户POS机等设备上。当有人利用这些设备取款或者刷卡时,事先隐藏好的读卡器就能记录银行卡的账号信息。摄像头是为了拍下持卡人的银行卡密码,也要事先安排在隐蔽处。
不法分子通过数据采集器和摄像头获得持卡人的银行卡信息和密码后,下一步就是复制银行卡。首先复制银行卡内码信息,把内码信息传到软件上,通过软件将内码信息转换为可写格式,最后连接银行卡复制器,将信息写到空白卡上。为了加大警方破案难度,犯罪团伙往往在A市采集信息,利用网络将信息传递到B市,并在当地复制和盗刷。这也是异地盗刷频繁发生的原因。
措施:防止泄露任何银行卡信息
银行卡内资金“不翼而飞”,很多遭遇盗刷的持卡人都急切地需要解决办法。其实,从源头上避免卡片信息的泄露才是必须的。持卡人要注意,即使你不泄露密码也会造成被盗刷,身份证号、银行卡背后的签名都可能成为不法分子获得密码的工具,所以持卡人尽量到正规银行网点的自助银行取款,在商场等公共场所设置的ATM机取现等交易时,一定要小心谨慎,除了注意周围人、用手遮挡输入密码,打印的凭条也不要随意丢弃。
同时,在取款前,如果发现ATM机上有多余的装置或摄像头,插卡口或出钞口有异常情况,请不要使用。不过,也有在消费过程中,收银员“暗箱操作”的情况,所以持卡人在商场、饭馆刷卡消费时,切勿让银行卡离开视线范围,留意收银员的刷卡次数。刷卡后,不要在空白签账单或未填妥金额的签账单上签上本人姓名。
某股份制银行个人银行部相关负责人建议,持卡人应该开通短信提醒功能,只要卡内资金发生变动,立刻就会收到提示短信,防止更大额度的资金损失。如果是的使用客户,这一点就更加必要。同时,在进行网络购物时,除了要用U盾保护安全,最好使用短信验证的支付方式,在交易时必须获得信用卡中心发来的验证码才能成功交易。
呼吁:芯片卡安全性高亟待普及
磁条卡本身的技术漏洞、信用卡网络支付风险、个人信息的泄露都是盗刷频发的“引擎”。其实,“银行卡复制器”是不允许销售的,如果他们的经营行为达到一定额度,就涉嫌非法经营,但是目前在层级还没有针对性的法律条款来约束。
现在和各大金融机构都在推行金融IC卡,即芯片卡。日后我们手中的磁条卡可能就会被芯片卡所取代。央行最新的消息显示,从明年1月1日起,全国性商业银行均要发行金融IC卡。截至今年上半年,全国已累计发行金融IC卡4500多万张,较去年底增加2070万张,增幅达85%。年底前实现金融IC卡在增量发卡中占比超过15%。
特别是在盗刷频发的现在,芯片卡的推行也迫在眉睫。磁条卡应用广泛,但其存在着明显的不足,信息存储量小、磁条易读出和伪造、保密性差,容易被犯罪分子盗取磁条上的资料。芯片卡为何能有效地规避风险呢?副行长介绍,和磁条卡相比,芯片卡能存储加密的机密数据,能防止卡内数据被复制,具有更高的安全性。
商报记者 闫瑾 孟凡霞/文 宋媛媛/制图
业内新闻
理财资讯
07/18 08:2207/21 11:2307/21 10:4907/20 18:2607/20 08:2407/20 02:2707/20 00:4607/19 13:24
银行精品推荐
特色数据库:
精品栏目:
每日要闻推荐
社区精华推荐
精彩专题图鉴
【免责声明】本文仅代表作者本人观点,与和讯网无关。和讯网站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。你的银行卡为什么会被盗刷?
你的资金正在被威胁!日
15:30&&&&&&来源:毒霸安全月报
在完全不知情的情况下,有了一笔2000英镑的海外消费
被盗刷的银行卡
近日,我们收到有用户反馈说自己银行卡里的钱在完全不知情的情况下被一个叫做“北京帮付通科技有限公司”的公司划走,购买了彩票。他联系帮付通的客服人员,对方解释说,他们公司是提供第三方交易的平台,只要确认客户提供的银行账号、身份证号、密码等相关信息正确,就能通过网络平台进行正常的支付交易。而对于操作者是否为本人,公司无法核实确认。
随后我们了解到,早在2003年就有用户遭遇了同样的事情。受害用户甚至成立了“北京帮付通受害交流”的群来共同维权。
杭州的任先生利用年休假和五一小长假携家人到马来西亚兰卡威度假。结果回到杭州以后,就接到所持信用卡发卡行的客服电话,称其境外度假期间刷卡次数较多,为安全起见,建议他到银行免费更换新卡或更换信用卡磁条。
事实上,经常有出境人员回国后一段时间发现自己的信用卡在国外被盗刷了。尤其是东南亚国家,此类事件特别频发。以马来西亚为首,新加坡、泰国等国都有可能是盗刷的发生地。
新华社南京2014年3月11日电,江苏泰兴的王先生只是扫了一下二维码,银行卡就被盗刷9万多元,而银行和支付宝的短信提示就像失灵了一样。据我们了解,王先生应该是中了二维码中植入的木马病毒。
面对频发的银行卡安全事件,我们必须增强银行卡资金安全方面的意识,认识到,银行卡账户的风险是无处不在的,你的资金正在被威胁。
磁条卡天生不安全
业内人士称,磁条卡有很大的安全隐患,非常容易被复制。事实上,复制一张磁条卡只需要几十秒的时间。犯罪分子们只要在刷卡的POS机器上动动手脚,偷偷安装一套读卡器,就可以把磁条信息读取并记录下来。犯罪分子随后再把信息压印到一张空白磁条中,就得到了一张功能一模一样的“复制卡”。
而网上居然有人兜售这样的设备。所出售的设备包括银行卡复制器、银行卡信息数据采集器、微型无线摄像头、银行卡专业制作软件、空白卡、芯片数据连接线等。卖家甚至还宣传“包教包会”、“终身技术支持”。根据业内人士的介绍,这些设备中最为关键的是数据采集器,只要磁卡从它的读取槽内划过,银行卡信息就会被窃取。这种银行卡数据采集器小得可以放到口袋里,最多可以存贮2048条磁卡信息。
犯罪分子在复制银行卡之前,需要先把数据采集器安装在银行的ATM机、商户POS机等设备上。当有人使用这些设备时,读卡器就能记录磁条银行卡的账号信息。犯罪分子还可能会使用隐藏的微型摄像头拍下持卡人的银行卡密码。
犯罪团伙还会组织专人“潜伏”酒楼、宾馆和KTV等高档消费场所当服务员,当持卡人在消费埋单时,乘机利用侧录机盗取刷卡人的银行卡磁条信息,并窥取其密码。当收集一批银行卡信息后,立即辞职走人。或者花钱购买此类信息:
为了加大警方破案难度,早期的时候,犯罪团伙往往在A市采集信息,利用网络将信息传递到B市,并在当地复制和盗刷;而现在更是已经发展为了异国盗刷。跨国的犯罪更加难以追踪,这无疑使得我们更加难以维护自己的权益。另外国外的刷卡常常走的是VISA或者MasterCard的通道,而这两个通道在刷卡时是不要支付密码的。这就更加减少了窃取支付密码的步骤。因此,在国内办的双币信用卡或者双币借记卡(国际借记卡)一旦被复制,后果不堪设想。
根据广东警方的统计数据,这种克隆银行卡犯罪占到了整个广东省2013年度经济犯罪总数的的40%。2013年12月24日,广东多个市公安局联合开展打击银行卡犯罪“海燕1112”专案收网行动,对省内克隆银行卡犯罪进行全链条打击。此次行动共打掉犯罪团伙8个,抓获犯罪嫌疑人54名,缴获POS机51台,侧录器35台,涉案银行卡1056张,现金赃款45万元。其他作案设备还包括制卡机、压卡机和读卡器等。警方指出,侧录机、制卡设备等均是可购买的民用设备,目前并未纳入监管范围,给犯罪分子留下作案空间。这些设备价格便宜,购置整套作案设备仅需7000多元,犯罪成本极低。
由于磁条卡存在天生的安全隐患,央行规定从2013年1月1日起,全国性商业银行均应开始发行金融IC卡,也就是芯片卡。这种芯片卡安全性能较强,通过先进的芯片加密技术,能够有效降低银行卡被复制等金融欺诈事件。虽然目前为了兼容老的设备,银行发行的都是磁条+IC芯片的银行卡,仍然很容易被复制磁条,但是根据央行日下发的《关于逐步关闭金融IC卡降级交易有关事项的通知》,在2014年10月底以后,这一类银行卡将会关闭磁条的功能。到2015年,银行就会停发磁条卡。到那时,磁条卡带来的负面影响才会完全消失。
而我们现在也可以找银行申请,将手里的磁条卡换成IC芯片卡。
无需密码和U盾也可以完成支付
犯罪分子有时其实并不需要复制一张卡片。只要知道一些卡面信息,就可以完成支付。
以上为除了协议扣款(缴纳学费、水电费、通讯费等)以外的支付渠道。我们可以看到,用户的资金可以通过三条途径流向商户:银行直接到商户、通过银联这样的支付网关、通过第三方的协议支付机构。
有人认为有了支付密码,有了银行的U盾自己的资金就安全了,但事实上,U盾是银行自己的安全措施,只会在网银支付一条途径中使用,无论是刷卡支付、无卡支付还是快捷支付都不需要使用U盾。而支付密码也仅仅是网银支付和POS机刷借记卡支付时才必须使用,在其他的渠道可能根本不会使用到。比如扣学费、交水电费、通信费、购买基金的时候,这些公司就可能可以不需要密码直接扣款,另外,像支付宝、微信支付这样的第三方快捷支付公司也可以直接扣款而不需要密码。
信用卡则支持更多形式的无卡无密支付。一般来说,一张信用卡会有以下信息:卡号、持卡人姓名、有效期、CVV2(仅信用卡)、密码(银联的支付密码,或者VISA/MasterCard的3D支付的PIN)、银行预留的手机号码等。用户把信用卡卡号,以及附加信息中的若干项目提供给亚马逊、苹果商店这样的商家以后,由这些商家向银联、VISA这样的卡组织和发卡银行完成验证。完成验证之后商家便可以随时从用户的信用卡中扣款。这种无卡支付是国际上的一种标准的支付途径,是一种方便的支付方式,无论是在网上支付还是通过电话支付都可以使用。
而这种方便就带来了安全方面的隐患。虽然无论是VISA还是银联都严令商家不得储存卡片有效期或者CVV2这样用户敏感信息,但是拿到用户的信息之后是否不保存完全取决于商户的自觉。今年年初的携程网用户信用卡信息泄露事件就很好地说明了这一点。
有时我们需要电话预订酒店或者机票,这时对方可能要求我们在电话里提供信用卡卡号、有效期、CVV2等信息。这个接电话的客服就同时得到了我们的信用卡的相关信息。另外,我们在超市使用信用卡刷卡时,超市收银员也可能会看到并记下我们信用卡的有效期和CVV2。之后他们就可以使用这些信息,使用我们的信用卡直接进行支付。因此,在电话预定酒店的时候最好使用身份证号码而不是信用卡信息。
如果我们害怕风险不愿意在网上提供自己的信用卡信息给商家,可以考虑使用银联在线支付,这种网上支付的方式不同于各个银行自己的网银支付,是一种统一的无卡支付的方式。通过银联的支付网关,用户在网上支付的时候会跳转到银联的网站上,然后将信用卡或者借记卡的信息提供给银联而不是商家来完成支付。
然而银联在线支付并不能防止其他形式的卡信息泄露,比如上面说的超市收银员瞄到CVV2。磁条卡换IC芯片卡只能解决复制卡的问题,对于这种卡片信息泄露帮助不大。因此注意保护自己的卡信息很重要。
第三方快捷支付:到底安全吗?
用户在网上支付时,很多商家都是素未蒙面的,用户不愿意将信息提供给这样的商家,于是有了第三方支付平台。最早一批的第三方支付平台,比如PayPal,在1998年就已经出现。用户的信用卡信息保存在这样的第三方平台上,由这些第三方的平台来进行扣款并提供给商家,保护了用户的信用卡信息。严格来说,银联认证支付也是扮演的这样一种第三方支付平台的功能。
后来,由于借记卡的流行,第三方支付平台开始支持使用借记卡付款。但使用借记卡付款往往不能使用这种“无卡无密支付”的支付方式,而是需要跳转到银行的网银页面进行付款。这样反而增加了操作的复杂度。另外,在国内的网银支付还存在只能使用Windows平台和IE浏览器等缺点。在这种情况下,2010年底支付宝公司联合银行推出“快捷支付”功能,支付宝可以直接从用户的银行账户扣款而无须通过网银。
快捷支付的流程如下:
1.&用户提供信息,支付宝与银行签约开通快捷支付
2.&用户购买商品时,与支付宝交互
3.&支付宝直接从银行扣款给商户
无论是借记卡还是信用卡,在开通了快捷支付以后,支付宝公司就可以随时直接扣款了。由于这种方式并不通过网银,因此不会用到银行的支付密码或者U盾。
那么,像这样的第三方快捷支付是否安全呢?首先我们必须假设像支付宝或者微信支付这样的大公司的信誉应该是没有问题的。然后我们可以从攻击者的角度去考虑这个问题。
首先,如果攻击者盗取了用户的支付宝,那么就可以随便盗取钱财了。为此,支付宝设计了登录密码和支付密码双密码的策略,同时提供了支付时短信验证,以及证书U盾的功能来防止账号被盗。因此,这方面的风险应该是比较小的。于是攻击者的攻击方法集中到了两个方面,试图利用攻击者注册的账号绑定用户的银行卡,以及利用社会工程手段获得用户的手机、手机验证码等。
我们已经知道,在第三方快捷支付的开通过程中,主要是第三方支付公司和银行进行交互,因此我们很有可能完全不知道自己的银行账号被开通了快捷支付。随着时间的推移,支付宝、微信支付这样成熟的互联网支付公司逐渐建立起一套完备的安全体系,杜绝了绝大部分盗用他人银行帐号的问题。应该说这些知名公司的快捷支付在机制上应该是比较安全的。然而更早的时候并不是这样。支付宝、微信支付在早期也都被媒体报道曾经存在过各种各样的问题,比如不需要真正验证手机号码就可以绑定银行卡,支付过程完全不提示用户等。
另外,并不是所有的第三方支付公司都像支付宝或者微信支付这样。比如我们发现,银联在线的快捷支付功能在使用某些银行的银行卡时,即使不需要输入正确的银行预留的手机号也可以进行小额支付。因此即使我们从来不使用第三方支付,通过使用这样不进行严格身份验证的第三方支付平台,犯罪分子只要知道我们的银行卡号、身份证号,然后利用一个新的手机号,就可能可以在一些不知名的第三方支付平台随意绑定我们的银行账号进行快捷支付,就像上文的案例中,用户的资金在完全不知情的状况下被帮付通划走一样。
为了取得一些信息,我们还特别联系了一些打这些广告声称“出售技术”的人,以下是一些聊天记录:
以下是与另一个人的聊天记录:
更令人难以置信的是,当我们询问银行是否可以禁止开通快捷支付时,银行竟然回复不能禁止,这样我们就只能每天提心吊胆,祈祷自己的资金不被划走!真正应了网上的一句话:“你的存款还呆在银行账户里,是因为罪犯顾不上取”。
我们可以知道,网上宣称的所谓的第三方快捷支付不安全的漏洞,其实是银行方面的漏洞。银行允许第三方支付公司不需要严格的身份验证就可以开通快捷支付,银行在快捷支付开通和扣款过程中没有通知用户,银行没有提供设置选项给用户对快捷支付进行统一管理,或者完全禁用。把问题全部推给第三方支付公司是不负责任的。
当然对于我们一般用户来说,注意到第三方快捷支付可能存在的这些安全问题是非常重要的,毕竟这关系到我们的资金安全。
不加密的网络
然而安全的威胁还不仅如此。近日,关于WIFI的安全引起了人们的关注,央视《消费主张》和《每周质量报告》栏目均报道了关于WIFI钓鱼的安全事件。
长久以来WIFI网络的安全问题就收到人关注。安全人员关注的焦点是:没有密码的WIFI网络,其数据传输也是不加密的。另外,由于WIFI的开放性,任何人都能连接进同一个不加密的WIFI。在这样的情况下,我们的通讯就像在公共场合大声说话一样,只要想听,无论是谁都可以听得一清二楚。
加密的网络由于多了一个需要输入密码的步骤,因为传输有了加密,使得安全性大大提升。但也因此在便利性上有了一定的损失,如果用来做公共WIFI比如政府、运营商或者星巴克、麦当劳的免费WIFI,会带来一些操作上的麻烦,比如需要把密码告知每个用户。由于WIFI的设计,这里的安全性和便利性是不可得兼的。
笔者在香港时发现,香港政府的免费WIFI有两个,一个是不需要密码的WIFI,另一个是需要密码才能连接的WIFI。用户第一次连接时,由于不知道密码,所以只好连接不需要密码的WIFI,这时候会自动弹出一个页面,告知另一个WIFI的密码,并告诉用户,不需要密码的WIFI可能有安全隐患,用户应该连接另一个需要密码的WIFI。
在国内,大部分的公共WIFI,包括移动的CMCC,联通的ChinaUnicom,电信的ChinaNet,以及麦当劳、必胜客等商家,政府机关、火车站、飞机场的公共WIFI,都是不需要密码的。也就是说,一旦我们使用了这些WIFI,在同一个WIFI网络里的犯罪分子就可以轻易截获我们的通信,拿到我们的账号密码信息,甚至劫持我们的通信,把我们导到钓鱼网站上去。一些详细的情况,可以参考稍早时的新闻《危险的WIFI》。
必须注意的是,这里说的加密WIFI,指的是需要密码才能连接的WIFI,而不是像CMCC这样,连接上以后才提示需要输入密码给移动才能继续访问网页的WIFI。
那么,我们难道就只能坐看自己的账号密码被人偷走吗?就没有其他什么办法吗?有的,答案就是SSL(TLS)。访问网页时,我们应该尽量访问使用了SSL的HTTPS页面,而在使用其他应用比如电子邮件时,我们也应该尽量使用支持SSL加密的服务器。
很久以前,安全研究人员就意识到,只有实现端到端的加密才能真正确保传输的安全。在使用了SSL的页面上提交账号密码,可以确保这些信息不会被犯罪分子窃听到,即使是在一个不加密WIFI的环境下。
有的网站开发者可能会问:我的网站会把密码使用Javascript加密以后再传输,这样犯罪分子就窃取不到用户的密码了。但是事实上真的是这样吗?这就涉及到SSL的另外两个功能:身份认证和防篡改。我们看下图:
正常情况下,用户是无法识别内容是来自真正的服务器还是第三者的。除此之外,攻击者也可以不冒充服务器,而是在中间对通信的内容进行篡改:
如上图,国内某知名购物网站没有使用HTTPS加密连接。因此犯罪分子完全可以通过劫持流量的方法,进行页面的篡改,将上图方框中的提交用户名密码部分的HTML和JS代码修改成提交给他们自己的网站。
而在使用了SSL的情况下呢?
我们看到,SSL通过使用可信机构颁发的数字证书,解决了不加密的WIFI网络可能存在的劫持的问题。
此外,使用了SSL的通信还会使用数字签名算法来对网页的内容进行校验,即使是一个字节的不同,也会导致数字签名校验不通过,浏览器会直接提示网页被篡改了。
SSL的设计者花费了很长的时间来思考Internet上的安全和隐私相关的问题,最终得到了妥当的解决方案,因此,特别是在公共的不加密WIFI这种危险的环境中,使用HTTPS无论什么时候都是一种好的方式。
国外对于安全方面的研究和实践都走在前列,我们看到重要的网站都全程使用了SSL/TLS:
如果你在上面看到某个陌生的网站,请不要觉得奇怪,因为那个网站其实是不存在的。
而与之相反,国内的网站,即使是某些市值或者估值千亿美圆的公司,在这方面的安全意识也令人遗憾,除了上面的某购物网站以外:
那么我们应该怎样做呢?首先我们在用PC和手机访问网页的时候,尽量不要访问一些敏感的,可能泄露个人信息的网页。实在需要输入用户名和密码时,一定要确认两点:网址使用了SSL加密(网址以HTTPS打头),以及SSL证书有效:
另外有一点需要特别注意的是,如果你连接了不加密的WIFI,那么一定要注意手机系统上的邮件客户端。因为邮件客户端是需要经常和服务器连接的,一旦打开了邮件客户端,或者邮件客户端常驻在后台运行,而你使用的服务器不支持SSL连接,或者你在配置的时候没有勾选使用SSL连接,你的密码就会直接暴露在外,任何人都可以看到。特别的,如果你的手机上设置了自动连接WIFI,然后你的手机自动连接上这个不加密的WIFI,邮件客户端在后台自动连接服务器——你的密码就在不知不觉中泄露了。因此一定要选大厂商的邮件服务,在任何时候都要勾选“使用SSL”。
谁在窥视你的密码和验证码?
木马病毒,他们在窥视你的资金。
还记得文章开头那个扫二维码导致9万多元被盗的案例吗?这个是什么原理呢?
其实,每个二维码都是一个字符串,攻击者利用的二维码解释出来是一个网址,于是扫码软件就调用手机浏览器去打开这个攻击者的网站。Android系统有不少已知的漏洞,而攻击者的网站利用了这些漏洞,当Android自带浏览器访问这个网站时,漏洞被触发,浏览器下载一个病毒APK安装。
这个病毒被安装以后,就潜伏在后台,之后的动作就简单了,病毒可以通过很多方法达到目的,比如劫持网页,把用户访问的网页替换成攻击者的网页;或者替换应用,卸载掉用户本来的手机银行、支付宝等客户端,然后替换成病毒作者自己的客户端,这样用户使用时就把密码输入给了病毒作者。
病毒还可以做什么呢?它可以把你的手机号码发送给病毒作者;它可以拦截、查看你所有的短信记录,包括银行的验证码短信;它可以伪装成银行、公安、电信,用他们的号码(比如10086)给你自己发送一条短信,而你根本无法区分这种短信是不是真的来自10086;病毒可以以你的名义给你通讯录里的联系人发送短信,让他们打钱到病毒作者的账号……总之,只有你想不到,没有它做不到。
除了扫描二维码打开网页可能会导致Android手机中病毒以外,我们还注意到,有些Android病毒也会利用手机短信传播,点击短信中的链接,即有可能被植入病毒,其原理和二维码网页的原理一样。
我们已经发现的一些种类的Android手机病毒如下:
由于国内的很多手机厂商都是使用的自己定制的ROM,在Google发布新版本的Android的时候不能及时升级,因此,这种手机漏洞+木马病毒的攻击方法威胁更大。
很显然,除了Android上的木马病毒以外,PC上的木马病毒同样对你的银行账户虎视眈眈。
使用毒霸保护你的资金安全
那么,有什么方法可以帮助我们,在一定程度上保护我们的资金安全呢?
目前发生的多起盗刷事件,多数是因为用户的信息泄漏导致的,那么哪些渠道会导致用户的信息泄露呢?
那么应该如何防范这类威胁了?
在超市或者酒店中刷卡,一定要保证卡在自己可以看见的范围,并保护好自己的密码,以防被人复制或者记录。
安装毒霸,防止被淘宝木马或者其他病毒窃取您的个人信息。
在连接公共wifi时,不要输入自己的银行卡账户密码等敏感信息,并安装手机毒霸等安全软件,保护您的手机安全。
另外,当你开启金山毒霸进行网购而导致资金被病毒木马盗取的话,毒霸可在敢赔险的范围内赔付您的损失。
a.&银联安全用卡攻略:
b.&SSL相关知识:
c.&《危险的WIFI》
已投稿到:}
我要回帖
更多关于 芯片银行卡安全吗 的文章
更多推荐
- ·香港火葬场火化炉和殡仪馆的区别
- ·映山红值多少钱歌曲的背景和意义
- ·艾利萨尼·大卫席尔瓦去哪了烦恼多
- ·印象红歌大联唱目录
- ·《绝密追击》电影2韩版女毒枭是谁
- ·共享单车面对的问题教育市场需要警惕哪些问题
- ·whereisyvkiomemcpy fromio怎么回答
- ·藻河南神茸帝菌生物技术术有什么用吗?
- ·实习生报告班主任评价可以自己写么?
- ·你好吴亦凡英语采访怎么说
- ·如何防范以招生,中介什么名义借钱算诈骗进行诈骗的行为
- ·大学在读证明本地读和外地有什么不同
- ·一风吹日晒同义词就头痛是什么情况
- ·我泰拉瑞亚日食条件在做什么有没有后可不可以来拯救
- ·高考成绩填报志愿过省控线20分填华北电力大学吃亏吗
- ·曾欢欢2017中考分数线线
- ·大家可以说下哪个小班老师教育随笔最负责,教的最好吗
- ·这葬花词的最后一句句回答我不明白!😂
- ·标定r 精度 save可达 3% o.r.是什么意思?
- ·芯片银行卡能刷卡吗怎么刷 芯片银行卡能刷卡吗装口袋安全吗
- ·消防松江飞繁hj9501接线图9501模块输入动作灯长亮怎么回事
- ·治疗全国多动症治疗哪家好哪家便宜
- ·谁有装修企业承建工程项目台账明细台账,可以知道项目利润的那种
- ·华侨大学复试时间在招生时会对华侨有优待吗
- ·建设银行手机设备变更怎么把普通认证设备变更成强认证设备
- ·谁有拼音描红 韵母声母韵母的描红,可打印供小孩子书写的
- ·请问现在的广东食品药品职业学院学院到底好不好?宿舍环境那些
- ·名字里有个兰字的主权国家主权信用评级有哪些
- ·demonology warlockk豌豆电子烟 多少口
- ·思科光模块块的命名是统一的吗?字母代表什么意思?
- ·第一批次线下能用天线的性能指标有哪些吗?
- ·一个宠物美容师的自述培训要多久
- ·卖方垫资垫资赎楼后 买方违约付利息?
- ·开关电源环路稳定性的环路补偿电路有什么作用
