不安全的不仅仅是ETC 你需要担心更多
- 来源:创事记
- 2016/12/19 17:35:1023511
【中国安防展览网 企业关注】 近几天,一段ETC卡被盗刷的视频在互联网上传播,引发了各方的关注。甚至引发了恐慌,笔者的ETC绑卡银行人工服务根本无法打进去。各个银行分别站队澄清,甚至交通运输部路网监测与应急处置中心也立即下发了《关于应对ETC银行联名卡存在被盗刷风险的紧急通知》。
不安全的不仅仅是ETC 你需要担心更多
近一段时间,特别是Apple Pay入华以后,现在新办理的银行卡几乎都支持闪付功能,而且基本都是小额免密码的。当闪付与ETC结合起来,就有了我们看到的视频。这次事件到底是怎么回事?哪些卡会受到影响?不安全的仅仅是ETC吗?我们从信息安全的角度来做个解读。
一、ETC盗刷的真相
ETC本身是交通部门为了节省人力,方便车主开发的。ETC本身是交通行业专用的密钥体系,通过空中接口来完成支付。而用户是要给ETC里面充值的,这种卡除非破解了交通部门密钥,同时有交通部门空中接口的设备,否则是无法盗刷的,即使盗刷,刷的也是用户存进去的钱,不会有太大危害。
但是ETC在推广的时候逐渐发展出来其他模式,一种是交通行业与银行联合发行,客户持有一张交通行业单用途ETC卡和一张银行借记卡或贷记卡,车辆上使用的ETC卡不具备金融功能,仅仅用来记账,卡的支付通过关联的借记卡或者贷记卡,信用卡完成。这一种也需要空中接口,需要交通部门设备。这种也没有危险。
还有一种是交通行业与银行发行的二合一卡片。ETC卡本身也是一张银行卡,除了ETC的空中接口,也支持其他方式的支付。如果只是芯片卡,必须插入才能使用,那么别人也无法盗刷,偏偏NFC流行以后,现在银行卡都是支持闪付的,这样只要有设备,接近卡就可以盗刷了。
如果仅仅是盗刷,刷了用户不确认无法结账,钱还是刷不走,而偏偏银行又给客户默认开通了300元以下的小额支取免密码的“小额免密面签”服务。于是就发生了视频中画面。
这种盗刷只有金额限制,没有次数限制,把你的钱刷空是轻而易举的。视频中涉及的发卡行是广发银行。在其信用卡官方微信号“广发信用卡”中表示,此片中出现的POS机已查出是云浮加油站POS机。
理论上POS管理是严格的,实名的,有规定的,但是如果被*分子盯上,已经发出去的POS机想要完全控制住是不可能的。所以,办理了二合一ETC卡的用户,只要“小额免密面签”服务没有中止,就一直处于危险之中。
二、闪付的安全问题
这次与ETC卡同时被推上风口的还有银联在2015年10月推出的小额免密面签服务。
小额免密面签只适用于银联芯片卡,当持卡人使用带有“闪付”标识的银联芯片卡或支持“云闪付”的移动支付设备,在*商户进行300元及以下金额的交易时(境内300元人民币,境外以当地限额为准),只需将银 联芯片卡或“云闪付”移动设备靠近POS终端感应区,一挥即可完成支付。支付过程中,持卡人无需输入密码、无需签名,除了银行卡之外,此外,Apple Pay、Samsung Pay等新型移动支付方式,也都适用于小额免密免签,同时必须是与银行、银联合作的商家才可以使用小额免密面签功能。
目前,异常的免密免签交易,持卡人可以在发现异常后联系发卡银行申请补偿,因双免交易产生的否认交易,都可以得到赔付。这种闪付业务为了方便采用免密码功能本身可以理解,但是免密码不等于可以不认证。Apple Pay、Samsung Pay好歹还有一个指纹可以验证,表明使用者知情。
闪付又没有密码,等于发起方和确认方都不需要持卡人,只要卡在,任何人就可以用支持闪付的POS机或者其他什么设备把钱转走,这太可怕的。更可怕的是银行这项业务是默认开通的,而不是默认关闭,用户需要单独打电话或者到柜台才能关闭。
银行为了业务量,拿用户的安全开玩笑,默认给用户开通免密支付的服务。用户就处于危险之中。ETC卡因为放在车上,远离持卡人成为目标,而带在身上的卡因为这种非接触、非认证的特性也很容易成为目标。
在公交卡时代,就有人带着打卡机去公交车上溜达,一元一元的刷公交卡的钱。而当NFC闪付的卡流行以后。这些人就可以300元,300元的刷了。一趟地铁下来成为富豪,以现在电信诈骗的洗钱力度,在用户发现投诉,相关机构追查之前,钱早就没有了。
三、发行部门担责是解决办法
这次ETC事件,是银行默认给用户开通的闪付和小额免密。给了交通部门空中接口以外的支付手段。而银行的动机无非是完成任务,譬如发卡量一类的东西,拿用户的资金安全开玩笑。
解决的办法是谁发行谁担责任,用户没有要求开通的业务默认开通,出了问题就让银行来担责任。用户未作确认的支付(指纹、密码、短信等),用户可以随时取消,造成损失都由发卡行或者发行部门来负担。
现在不仅仅是ETC、闪付卡的问题,我们日常使用的各种互联网支付手段其实都不那么安全。很多网络支付工具小额也是免密码的。如果用户丢了手机,或者密码被撞库,很容易造成金融账户的严重损失。前一段很流行的快捷支付也是如此,在盗取个人信息容易的情况下,个人信息泄露,不知不觉钱被盗走。
马克思说:“有100%的利润可以挺而走险,有300%的利润,可以践踏人间一切法律。”只要漏洞存在,就一定有人去利用。对于银行、互联网公司来说,要有安全意识,不能为了自己任务拿用户的安全开玩笑。而对用户来说,新技术到来的时候多了解一点,保守一点没有坏处。