美国自今年10月1日起开始施行“liability shift”（责任转移）。即用户遭遇信用卡诈骗后，发卡银行或商家将被追究责任，而不再是那些常常会“马大哈”的消费者。

近日，Computerphile已经发布了关于这种诈骗战术的YouTube视频，其中诈骗者对EMV（芯片密码）卡的实施了操作。他们还采访了剑桥大学安全工程教授及银行有关欺诈的知名专家——罗斯·安德森。

视频主要内容

⊙EMV卡的推出虽然暂时降低了信用卡诈骗，但随后诈骗率又再次大幅上升。
⊙欺诈者可以将一个外部第三方的设备引入到终端，然后将卡里的数据复制并传递回假的终端处。
⊙从一个芯片密码卡里复制的数据可以被转移到磁带卡并用在只能处理这种卡的终端（这些复制卡可以在EMV卡不受欢迎或不使用的国家使用）。
⊙很可能欺诈者会物理篡改合法的EMV终端然后将其他装置引入。在一个案例中，骗子推出了一款小型手机能够在交易过程中将卡的信息拦截传递给欺诈者。
⊙所谓的“超薄SIM”，是在中国销售和使用的廉价漫游服务，这实际上可以帮助骗子窃取的信用卡资料。 一个“超薄SIM”是一种超薄SIM卡芯片，可以让普通的SIM卡看起来就像一个标签，并且还可以在SIM卡和移动设备之间读取交易。用芯片密码卡与终端通信也是同样的原理。

视频展示

0xroot后续补充：如果对这篇文章内容感兴趣的小伙伴可以在下面的两篇文章里了解到更多细节：

1. Chip-and-PIN Card Hack Analysis        

2. Chip and PIN is Broken        

安全建议

EMV技术漏洞的存在已经不是什么秘密了。像其他的工作系统它也有自己独特的安全漏洞。而且大多数安德森教授提出涉及EMV终端篡改的手段，只能由厂家和银行自身解决该问题。

在这种情况下，用户只能避免在可能出现“诈骗EMV终端”的地方，如脱衣舞俱乐部使用卡支付。

如果大家发现任何篡改EMV终端的迹象，应立即向零售商报告。

*参考来源：malwarebytes，编译/ 江湖小吓，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）