转载

ETC盗刷恐慌:这才是最危险的!

最近几天,一段ETC卡被盗刷的视频在互联网上传播,引发了各方的关注。甚至引发了恐慌,笔者的ETC绑卡银行人工服务根本无法打进去。

各个银行分别站队澄清,甚至交通运输部路网监测与应急处置中心也立即下发了《关于应对ETC银行联名卡存在被盗刷风险的紧急通知》。

最近一段时间,特别是Apple Pay入华以后,现在新办理的银行卡几乎都支持闪付功能,而且基本都是小额免密码的。当闪付与ETC结合起来,就有了今天我们看到的视频。

这次事件到底是怎么回事?哪些卡会受到影响?不安全的仅仅是ETC吗?我们从信息安全的角度来做个解读。

一、ETC盗刷的真相

ETC本身是交通部门为了节省人力,方便车主开发的。ETC本身是交通行业专用的密钥体系,通过空中接口来完成支付。而用户是要给ETC里面充值的,这种卡除非破解了交通部门密钥,同时有交通部门空中接口的设备,否则是无法盗刷的,即使盗刷,刷的也是用户存进去的钱,不会有太大危害。

但是ETC在推广的时候逐渐发展出来其他模式,一种是交通行业与银行联合发行,客户持有一张交通行业单用途ETC卡和一张银行借记卡或贷记卡,车辆上使用的ETC卡不具备金融功能,仅仅用来记账,卡的支付通过关联的借记卡或者贷记卡,信用卡完成。这一种也需要空中接口,需要交通部门设备。这种也没有危险。

还有一种是交通行业与银行发行的二合一卡片。ETC卡本身也是一张银行卡,除了ETC的空中接口,也支持其他方式的支付。

如果只是芯片卡,必须插入才能使用,那么别人也无法盗刷,偏偏NFC流行以后,现在银行卡都是支持闪付的,这样只要有设备,接近卡就可以盗刷了。

如果仅仅是盗刷,刷了用户不确认无法结账,钱还是刷不走,而偏偏银行又给客户默认开通了300元以下的小额支取免密码的“小额免密面签”服务。于是就发生了视频中画面。

这种盗刷只有金额限制,没有次数限制,把你的钱刷空是轻而易举的。

视频中涉及的发卡行是广发银行。在其信用卡官方微信号“广发信用卡”中表示,此片中出现的POS机已查出是云浮加油站POS机。

理论上POS管理是严格的,实名的,有规定的,但是如果被犯罪分子盯上,已经发出去的POS机想要完全控制住是不可能的。

所以,办理了二合一ETC卡的用户,只要“小额免密面签”服务没有中止,就一直处于危险之中。

二、闪付的安全问题

这次与ETC卡同时被推上风口的还有银联在2015年10月推出的小额免密面签服务。

小额免密面签只适用于银联芯片卡,当持卡人使用带有“闪付”标识的银联芯片卡或支持“云闪付”的移动支付设备,在指定商户进行300元及以下金额的交易时(境内300元人民币,境外以当地限额为准),只需将银 联芯片卡或“云闪付”移动设备靠近POS终端感应区,一挥即可完成支付。

支付过程中,持卡人无需输入密码、无需签名,除了银行卡之外,此外,Apple Pay、Samsung Pay等新型移动支付方式,也都适用于小额免密免签,同时必须是与银行、银联合作的商家才可以使用小额免密面签功能。

目前,异常的免密免签交易,持卡人可以在发现异常后联系发卡银行申请补偿,因双免交易产生的否认交易,都可以得到赔付。

这种闪付业务为了方便采用免密码功能本身可以理解,但是免密码不等于可以不认证。Apple Pay、Samsung Pay好歹还有一个指纹可以验证,表明使用者知情。

闪付又没有密码,等于发起方和确认方都不需要持卡人,只要卡在,任何人就可以用支持闪付的POS机或者其他什么设备把钱转走,这太可怕的。

更可怕的是银行这项业务是默认开通的,而不是默认关闭,用户需要单独打电话或者到柜台才能关闭。

银行为了业务量,拿用户的安全开玩笑,默认给用户开通免密支付的服务,用户就处于危险之中。

ETC卡因为放在车上,远离持卡人成为目标,而带在身上的卡因为这种非接触、非认证的特性也很容易成为目标。

在公交卡时代,就有人带着打卡机去公交车上溜达,一元一元的刷公交卡的钱,而当NFC闪付的卡流行以后,这些人就可以300元、300元的刷了。

一趟地铁下来成为富豪,以现在电信诈骗的洗钱力度,在用户发现投诉,相关机构追查之前,钱早就没有了。

三、发行部门担责是解决办法

这次ETC事件,是银行默认给用户开通的闪付和小额免密。给了交通部门空中接口以外的支付手段,而银行的动机无非是完成任务,譬如发卡量一类的东西,拿用户的资金安全开玩笑。

解决的办法是谁发行谁担责任,用户没有要求开通的业务默认开通,出了问题就让银行来担责任。用户未作确认的支付(指纹、密码、短信等),用户可以随时取消,造成损失都由发卡行或者发行部门来负担。

现在不仅仅是ETC、闪付卡的问题,我们日常使用的各种互联网支付手段其实都不那么安全。很多网络支付工具小额也是免密码的。如果用户丢了手机,或者密码被撞库,很容易造成金融账户的严重损失。

前一段很流行的快捷支付也是如此,在盗取个人信息容易的情况下,个人信息泄露,不知不觉钱被盗走。

马克思说:“有100%的利润可以挺而走险,有300%的利润,可以践踏人间一切法律。”只要漏洞存在,就一定有人去利用。

对于银行、互联网公司来说,要有安全意识,不能为了自己任务拿用户的安全开玩笑。而对用户来说,新技术到来的时候多了解一点,保守一点没有坏处。

ETC盗刷恐慌:这才是最危险的!

原文  http://news.mydrivers.com/1/512/512141.htm
正文到此结束
所属分类: 互联网.科技

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
Java入门教程 bootstrap3 CSS Apache基础教程 springboot-demo php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 Struts2教程 MongoDB教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 SpringCloud ANTLR教程 Hive教程 java实例教程 Ant教程 Hazelcast教程 Elastic-Job-Lite XStream教程 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 WebService CXF学习 Hadoop教程 solr教程 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 Linux入门视频教程
近期评论
  1. 1 能用365块大洋去解决的事,千万不要用时间
  2. 2 Spring Boot集成atomikos快速入门Demo
  3. 3 Spring Boot集成fastdfs快速入门Demo
  4. 4 Spring Boot集成Https快速入门Demo
  5. 5 Spring Boot集成easypoi快速入门Demo
  6. 6 Spring Boot集成webflux快速入门Demo
  7. 7 Spring Boot集成Graphql快速入门Demo
  8. 8 Spring Boot API 多版本快速入门Demo
  9. 9 Spring Boot内容协商快速入门Demo
  10. 10 Spring Boot集成Debezium实现postgres增量同步
网站信息
  • 文章总数:155,458 篇
  • 文件总数:468,738 个
  • 标签总数:2,264 个
  • 分类总数:90 个
  • 留言数量:2,538 条
  • 在线人数:629 人
  • 运行天数:4,192天
  • 最后更新:2024年04月19日00点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG