ETC被盗刷的背后

2016-12-22 18:00 雪萍

最近几天,一段ETC卡被盗刷的视频在互联网上传播,引发了各方的关注,各个银行分别站队澄清,甚至交通运输部路网监测与应急处置中心也立即下发了《关于应对ETC银行联名卡存在被盗刷风险的紧急通知》。

bautos-214033_960_720.jpg

这次事件到底是怎么回事?哪些卡会受到影响?不安全的仅仅是ETC吗?我们从信息安全的角度来做个解读。

一、 ETC是如何被盗刷的

ETC本身是交通部门为了节省人力,方便车主开发的。ETC本身是交通行业专用的密钥体系,通过空中接口来完成支付。而用户是要给ETC里面充值的,这种卡除非破解了交通部门密钥,同时有交通部门空中接口的设备,否则是无法盗刷的,即使盗刷,刷的也是用户存进去的钱,不会有太大危害。

但是ETC在推广的时候逐渐发展出来其他模式,一种是交通行业与银行联合发行,客户持有一张交通行业单用途ETC卡和一张银行借记卡或贷记卡,车辆上使用的ETC卡不具备金融功能,仅仅用来记账,卡的支付通过关联的借记卡或者贷记卡,信用卡完成。这一种也需要空中接口,需要交通部门设备。这种也没有危险。

还有一种是交通行业与银行发行的二合一卡片。ETC卡本身也是一张银行卡,除了ETC的空中接口,也支持其他方式的支付。

如果只是芯片卡,必须插入才能使用,那么别人也无法盗刷,偏偏NFC流行以后,现在银行卡都是支持闪付的,这样只要有设备,发起支付申请,然后接近闪付卡就可以盗刷了。

如果仅仅是盗刷,刷了用户不确认无法结账,钱还是刷不走,而偏偏银行又给客户默认开通了300元以下的小额支取免密码的“小额免密面签”服务。于是就发生了视频中画面。

网络视频中涉及的发卡行是广发银行。在其信用卡官方微信号“广发信用卡”中表示,此片中出现的POS机已查出是云浮加油站POS机。

理论上POS管理是严格的,实名的,有规定的,但是如果被犯罪分子盯上,已经发出去的POS机想要完全控制住是不可能的。

二、闪付的安全问题

这次与ETC卡同时被推上风口的还有银联在2015年10月推出的小额免密面签服务。

小额免密面签只适用于银联芯片卡,当持卡人使用带有“闪付”标识的银联芯片卡或支持“云闪付”的移动支付设备,在指定商户进行300元及以下金额的交易时(境内300元人民币,境外以当地限额为准),只需将银 联芯片卡或“云闪付”移动设备靠近POS终端感应区,一挥即可完成支付。支付过程中,持卡人无需输入密码、无需签名,除了银行卡之外,此外,Apple Pay、Samsung Pay等新型移动支付方式,也都适用于小额免密免签,同时必须是与银行、银联合作的商家才可以使用小额免密面签功能。

目前,异常的免密免签交易,持卡人可以在发现异常后联系发卡银行申请补偿,因双免交易产生的否认交易,都可以得到赔付。

这种闪付业务为了方便采用免密码功能本身可以理解,但是免密码不等于可以不认证。Apple Pay、Samsung Pay好歹还有一个指纹可以验证,表明使用者知情。

闪付又没有密码,等于发起方和确认方都不需要持卡人,只要卡在,任何人就可以用支持闪付的POS机或者其他什么设备把钱转走,这太可怕的。

更可怕的是银行这项业务是默认开通的,而不是默认关闭,用户需要单独打电话或者到柜台才能关闭。

银行为了业务量,拿用户的安全开玩笑,默认给用户开通免密支付的服务。用户就处于危险之中。

ETC卡因为放在车上,远离持卡人成为目标,而带在身上的卡因为这种非接触、非认证的特性也很容易成为目标。

三、 发行部门担责是解决办法

这次ETC事件,是银行默认给用户开通的闪付和小额免密。给了交通部门空中接口以外的支付手段。而银行的动机无非是完成任务,譬如发卡量一类的东西,拿用户的资金安全开玩笑。

解决的办法是谁发行谁担责任,用户没有要求开通的业务默认开通,出了问题就让银行来担责任。用户未作确认的支付(指纹、密码、短信等),用户可以随时取消,造成损失都由发卡行或者发行部门来负担。

现在不仅仅是ETC、闪付卡的问题,我们日常使用的各种互联网支付手段其实都不那么安全。很多网络支付工具小额也是免密码的。如果用户丢了手机,或者密码被撞库,很容易造成金融账户的严重损失。

马克思说:“有100%的利润可以挺而走险,有300%的利润,可以践踏人间一切法律。”只要漏洞存在,就一定有人去利用。

对于银行、互联网公司来说,要有安全意识,不能为了自己任务拿用户的安全开玩笑。而对用户来说,新技术到来的时候多了解一点,保守一点没有坏处。

作者:maomaobear | 来源:iDoNews 专栏

分享到:

© 2016 爱电商 http://www.aidianshang.com/ 中国互联网举报中心 渝ICP备16012282号-3
违法和不良信息举报:jubao@aidianshang.com