2018年10月24日,国泰航空对外披露,940万用户的乘客数据遭到外泄,其中包括:乘客姓名、出生日期、电话号码、护照及身份证号码、信用卡信息、历史飞行记录等资料。这次的信息泄露事件,被香港立法会议员林卓廷形容为“本港历来最大的个人资料外泄事件”。无独有偶,就在该事件发生的一个月前,恶意组织MageCart成功窃取英国航空公司38万用户数据,其中包含7.7万条信用卡数据。信息泄露的危害想必不言而喻,但其中还存在一个问题,黑客为什么还要窃取信用卡信息呢?难道获得信用卡信息后,他们就真的能使用吗?

各类刷卡方式安全性分析

众所周知,信用卡是一种非现金交易付款的方式。针对中国来说,在人们已经意识到现金支付太过繁琐,但支付宝等移动支付方式尚未遍地开花的这段时间内,信用卡就充当了至关重要的角色。针对一些欧美国家来说,目前信用卡仍然是所占比例最高的一种支付方式。

随着科技的不断发展,刷卡的方式变得多种多样,大致分为以下五类。

1、手工压单

回想我们手中的信用卡,其正面“卡号”的部分,绝大多数都是凸起的,这并不是出于美观的考虑。在早期,网络还没有大规模普及,信用卡就已经走入了人们的生活中。当时的刷卡,只需要使用一张复写纸在白纸上印出卡号,并手写交易金额、持卡人姓名等信息,由持卡人进行签名,随后交易即可完成。时至今日,在一些无法联网的场景中,仍然还保留着这种交易方式,最为普遍的就是在飞机或游轮上刷卡购买物品。随着科技的进步,针对手工压单的伪造难度越来越小,因此这种刷卡方式的风险也越来越大。目前,各卡组织也正在逐步取消这种最传统的刷卡方式,或者要求刷卡者提供更多的信息来确保交易的合法。

2、磁条刷卡

磁条刷卡是大家最常见的一种交易形式,使用POS机完成刷卡动作,几秒内即可立即完成交易。然而,由于磁条自身的特性,一些不法商户也可以在几秒内轻松完成磁条的复制操作。因此,如果选用磁条刷卡方式,建议最好不要让卡片远离你的视线。

3、IC刷卡

由于IC芯片具有良好的加密性,因此在近几年磁条安全性被广泛质疑的期间,IC卡又重新回到了我们的视野中。与普通的磁条银行卡相比,IC芯片中能够存储更多的信息,功能更为完善。与此同时,IC银行卡还能够支持“闪付”操作,贴近POS机,即可完成支付。IC芯片无法轻易复制,其中以加密方式存储信息,可以说是安全程度最高的一种刷卡方式。

4、网络交易

针对网络交易,由于无法实际接触到卡片,因此只能采取信息校验的方式进行认证。一旦信息校验通过,则认为交易方就是持卡人本人,随即完成该支付。当前,网络交易通常需要验证完整银行卡号、信用卡安全码、完整姓名、卡片有效期这四类信息。然而,由于各卡组织和各银行的标准不同,最少的情况下,仅需要银行卡号+信用卡安全码这两条信息,即可完成支付。而在我们的案例中,黑客窃取两家航空公司存储的信用卡信息,实际上也主要是窃取银行卡号和信用卡安全码这两部分内容。

 

信用卡被盗刷了怎么办?

如果万一,你的信用卡被盗刷了,要做的第一件事应该是什么呢?大部分人可能会想到报警,但最佳答案并不是报警,而是应该第一时间联系发卡银行。

1、联系发卡银行客服人员,告知卡片被仿制

在得知被盗刷的第一时间内,立即联系银行工作人员。目前,大多数银行的信用卡中心都提供7×24小时的人工服务,我们不管任何时间,都要首先尝试联系银行。其原因在于,银行能够直接联系到卡组织,同时也能够及时地阻拦交易,尽最大可能减少经济上的损失。

2、到最近的一台ATM机,完成一笔交易

如果发生境外交易或异地交易,在联系银行后,银行通常会要求你证明信用卡仍然在自己的手里。这时,最有效的证明方式就是到就近的ATM机器上,进行一笔交易。在这里,需要提醒的是,不仅仅是取款属于交易,查询、转账、汇款等操作都属于交易。另外,即使此时的信用卡余额不足,或已经被银行锁定,其失败交易的动作也会保存在服务器上,并非只有成功的取款操作才有效。

3、联系银行,进行后续操作

在完成前两步后,接下来就可以按照银行的要求进行后续操作了。同时,如果涉及数额较大,或有可以提供的线索,应该在此时进行报警。至此,发现信用卡被盗刷后的紧急处理工作就全部完成,只需要等待后续的结果。

 

在此期间,银行在做什么?

1、证明客户陈述属实

“你说你卡片被盗,实际却充了游戏币”,银行也会防止这种行为的出现。在接到用户的通知后,银行会采取一定措施,证明客户陈述属实。而要求用户就近刷卡的操作,就正是出于确认的目的。

2、注销信用卡

在银行完成简单的确认后,甚至是在确认之前,就会立即下达注销信用卡的指令。从这一刻开始,你的信用卡便不再有效,无论此前的支付是否能够追回,之后这张卡片一定是无法再成功消费的。

 

3、拦截发卡行清算资金

在国内,中国人民银行是各金融机构的支付中介。各行之间的交易,需由央行进行清算。而被盗刷的这一笔交易,也一定会包含在清算的范畴之内。如果能拦截发卡行的清算资金,那么这一笔被盗刷的交易就不会被计入到卡片的真实消费之中。

4、拦截收单商户清算交易资金

同时,不法分子刷卡的商户属于“收单商户”。银行也会尝试拦截收单商户的清算交易资金,从而防止这笔交易落入不法分子的手中。

5、调取POS机签单,核对签名

正常的刷卡操作,需要刷卡人在POS机的签单(俗称“小票”)上进行签名。而用户在申请信用卡时,通常会选择“签名+密码”的身份验证方式,其中“签名”,就是指需要核对签单上的签名与持卡人签名是否一致。因此,在调取POS机签单后,如果发现其签名不一致,那么这一笔交易理论上也是无效的。

6、锁定盗录商户并向警方提交证据

如今,各大银行都拥有风险控制部门,普遍会利用大量用户刷卡数据,找到其中的关联性,从而定位盗取卡信息的商户,并向警方提交证据。

 

如何保证信用卡安全?

1、选择“签名+密码”支付验证方式

在办理信用卡时,银行会提供多个支付验证选项,其中普遍包括“仅签名验证”和“签名+密码验证”方式。“仅签名验证”顾名思义,就是用户只要拥有正确的签名,即可完成交易。但在实际场景中,商户无法准确判断出刷卡人的签名是否与持卡人签名一致,因此这一认证方式存在着较大风险。因此,我们建议所有用户都选择“签名+密码”的验证方式,并设置尽可能低的免密额度,以防止盗刷风险。

2、关闭境外无卡支付功能

据媒体统计,绝大多数的盗刷行为都发生在国外。由于不同国家的金融机构监管严格程度不同,因此恶意人士往往会选择能轻松进行盗刷的国家来实现盗刷行为。此外,由于暗网黑市的猖獗,一些地下市场中公开贩售银行信用卡信息,更加推动了被盗信息的“全球化”。针对这一现状,用户可以联系银行,关闭境外无卡支付功能,从而防范在境外通过网络支付实现盗刷的风险。

3、选用移动证书、USB证书等额外身份校验方式

防止网络盗刷,还有一种比较好的方式,就是使用银行官方的移动证书、USB证书等额外身份校验方式,在网络支付的场景中多加一层保护。

4、通过可靠的第三方支付平台完成交易

随着移动支付的日益普及,一些第三方支付平台已然形成了一个庞大的支付“帝国”。一些第三方平台积极使用手机的各种安全功能(例如:指纹识别、人脸识别)进行辅助验证,同时其自身也采取了充分的风险缓解方式(例如:为用户购买盗刷险、引入人工智能算法判断消费行为是否异常)。如果我们必须在一家看上去不是太安全的“小门小户”进行消费,那么使用第三方支付平台,显然是一个更为明智的选择。 当然,也包括网络上的“小门小户”网站。

5、设置消费提醒

“您尾号为2222的信用卡消费35000元,商户名称:动物园大象馆”,大家一定对这种短信息都不陌生。设置消费短信提醒(或微信提醒),可以让我们时刻清楚自己卡片的消费状态,及时发现盗刷事件。

 

未来展望:新技术提升卡片安全性

1、多因素密码校验

目前,部分英国银行已经采取了多因素密码校验技术。用户在网上交易时,除了必须提供的信息之外,还需要提供姓氏、生日,并且需要回答几个随机问题。验证通过后才能完成支付。试想,假如在网上刷卡需要提供的信息,等同于重置一次QQ密码所需的信息,那么网络支付的安全性也就大幅增长了。

2、动态信用卡号

美国某知名银行早在2006年就推出了一种动态账号技术。用户在线购物时,加密客户端会随机产生一个新的虚拟信用卡号,用户可以使用这个号码进行交易。并且,这一号码在完成一次交易后就会失效,无法重复使用。

3、动态信用卡安全码

信用卡安全码,也被称为CVN2(银联)、CVV2(VISA)、CVC2(万事达)、CID(美国运通),是通常印刷在卡片背面签名处的3-4位数字。该安全码由发卡银行使用特定信用卡验证密钥,对信用卡卡号、有效期、服务编号进行加密而生成。理论上,该安全码只有持卡人知道,发卡银行可以随时使用该密钥进行计算得出,除此之外的第三方无法获知这一安全码。正如我们此前所说,只掌握卡号和安全码,就有可能成功进行一笔交易。考虑到这一问题,部分国内和国外的银行已经启用了动态信用卡安全码机制,改用一个小型电子屏幕显示3-4位安全码,并且在卡片内部内置特定算法,每隔固定时间更换安全码,有效提高其安全性。

 

4、手机定位确认

2014年,国际某知名卡组织宣布,他们计划与一家科技公司共同开发一种安全技术,通过智能手机的GPS定位功能,来判断用户的手机是否与信用卡在一起,从而判断出刷卡人是否为信用卡的合法持有者。这一功能,不仅有效防止了境外信用卡盗刷的风险,还能有效降低合法持卡人在境外刷卡时卡片被“误封锁”的尴尬情况。

 

要保证信用卡安全,不仅需要技术的不断革新,还需要用户安全意识的不断加强。在享受信用卡支付带来的便利的同时,我们也要掌握足够的安全知识和防范技巧,从而保障自己的合法利益不受侵害。这样一来,就能避免在某天突然收到一条短信,通知你已经刷卡购买了一头大象。

源链接

Hacking more

...