芯片信用卡也遭盗刷了? 原来芯片特殊处理后密码会以假乱真
看看你包里的信用卡正面有没有芯片?不管有没有有,下次换的新卡一定会有,因为据央行规定,自2015年1月1日起,各银行将不再新发行磁条卡。淘汰磁条卡、全面使用芯片卡是全球金融机构的一件大事,理论上将让卡片支付变得更便捷、安全。在整体换代完成前,咱来聊聊IC卡的一些黑历史(当然这也不完全赖卡)。5个大盗7000笔交易,40张傀儡信用卡据连线报道,几个不法分子在法国盗刷了60万欧元,嫌犯于2011–2012年先后落网,他们在信用卡上做的手脚旋即水落石出。他们用来盗刷的信用卡不但塑料外观几可乱真,特殊处理后的芯片还会把随意输入的密码认做正确密码。失去了主观意识的 “傀儡信用卡” 就是他们的核心科技。
一直以来,芯片+密码两步认证体系存在一些理论上的薄弱环节——读卡器与芯片的信息交换。当买家插卡输密码的时候,读卡器会与芯片确认所输密码的正确性。聪明的小偷发现,只要拦截住这个请求,再代替原芯片回答读卡器不就行了?他们还真做到了。动过手脚的芯片同样可以收到读卡器的 “确认” 请求,此时它会自动回复 “正确”,无论输入的是什么数字。给这个流程打个比方:老师在课堂上提问,你小声说出了正确答案,结果坐第一排的二傻子站起来大声吼出了错误答案——老师被他唬住了,也觉得对!法国犯罪分子共盗取了40张信用卡,制作出40张傀儡卡,共进行了超过7000笔刷卡交易,购买了大量的彩票和香烟。几千笔交易出现后,盗刷地点的规律终于被发现,“他们总是在相同的地点作案,这就是他们的破绽。”X光下看个清楚早在2010年,剑桥大学的安全研究院也露过这么一手,只是手法要笨拙得多。同样的,学者们在原芯片背后贴了个芯片,垂帘听政截取读卡器请求。这个装置被放在一个盒子里,有一本圣经那么大,在盗刷时还要配合笔记本上的攻击软件使用。
由于卡片还要用作呈堂证供,鉴证组还不能对卡片进行破坏性拆解,只能在 X 光下粗粗窥见卡片的内部结构,证实了傀儡芯片的存在。鉴证人员随后反向破解了卡片在被读取时的计算活动,发现傀儡芯片的工作原理与剑桥大学的实验原理完全一致,只不过傀儡信用卡比当年的实验版本要精致得多——只比真信用卡厚那么一丁点。鉴证人员称:“(因为厚度略大于正常信用卡)把仿制卡塞进读卡器有点困难,但还不至于让人起疑心。”剑桥大学五年前做完实验也把发现告知了国际芯片卡标准化组织(EMVco)和英国信用卡协会,但两个组织都没有把警示太当回事,剑桥如今可以昂首说出那句话:“早跟你说了,咋就不听劝呢?” 剑桥大学在采访中表示,这种攻击是意料之中的,但对于盗用者的仿制手艺也是无比惊叹。哪怕风险在,还是要换代细思极恐之余,IC卡的换代脚步未曾停歇,全球各国在这事儿上还没少花钱,光是美国的发卡行就已经花了好几亿美金;我国2015的换卡量将达到8亿张,以10元一张的成本计算也是好几亿美金。巨量的投入来自全球金融机构的共识——IC卡是更好的刷卡方案,《新浪财经》说它好在这里:IC卡安全性高,卡内敏感数据难以被复制,而且IC卡不仅具有普通磁条银行卡所有的金融功能,还具备电子现金账户,支持脱机小额支付,可以使用非接触界面,实现即刷即走的快速支付和智能卡手机支付。新卡自有新人盗,把卡揣好是正道。