金融IC卡磁条将停刷 支持非接功能的手刷将被热捧
这是一家手刷品牌的一则风险预警提示,做手刷很赚钱这个共识在行业内几乎没人否认,很多代理商头疼的是“盗刷”和“恶意拒付”,如果您的手刷不接受磁条卡刷卡消费或者只能小额消费,而只接受芯片卡插卡或者挥卡消费,或许一切烦恼都会被解决。因为不管是插卡还是挥卡基于的都是读取芯片传送数据信息,芯片卡目前很难有黑科技有技术能够复制,而犯罪分子的大规模复制盗刷几乎不可能。而芯片卡由于很难被复制所以一般对那些恶意拒付的人也能起到警戒作用,就算被拒付了我们也能几乎确认是持卡人本人或身边人消费的,剩下来调查取证就会变得方向明确很多。
目前市场上手刷主要分为不带密码键盘的个人支付终端俗称:刷卡头,以及带密码键盘的商用终端俗称:MPOS,而刷卡头由于较低的成本深受市场认可,布放量极大,但是目前95%刷卡头只支持:磁条刷卡和芯片插卡,而不支持NPC非接支付,但根据手刷市场目前出现的风险状况,以及芯片卡普及的趋势来看,带非接功能的刷卡头以及MPOS或许会遭热捧。目前已经有部分厂家开始量产非接刷卡头。
我们也建议各家手刷品牌禁止磁条卡交易或禁止磁条卡大额交易,倡导使用插卡或挥卡的芯片交易。为什么倡导非接挥卡支付?因为这种交易完全可以作为前期风控的手段之一,甚至可以要求使用者第一次必须使用名下芯片卡需“闪付”挥卡消费一次,(系统内有针对不同的磁条交易或闪付交易会有不同的记录),就能证明使用者拥有的是真的芯片卡也就能顺便倒推出是持卡人本人。简单点说,搞复制卡的犯罪分子不可能有芯片卡(不能说绝对但真的很难有),所以不可能有芯片卡的闪付非接交易,这样就能在很大程度上杜绝掉“盗刷”和“恶意拒付”。
目前市面上所发的芯片卡,大多是“磁条芯片复合卡”,也即“双介质金融IC卡”,是指在同一张卡片上,同时有芯片和磁条两种介质。发行复合卡,央行曾解释称,是受金融IC卡受理环境改造进度及ATM磁条预判等限制,因此被外界认为是“过渡产品”。
为什么“芯片卡”安全?
卡片防复制机制是在交易的时候有一个动态数据验证,芯片卡内有一部分存储区域是不能被随便读取的,是每张卡片特有的,就算复制卡片,这片区域内的数据是不能被读取出来;做交易的时候有一个动态验证,需要终端向卡片发送随机数指令,卡片用卡内的私钥对收到的数据加上卡片内其他数据做加密运算,产生一个动态的证书,返回给终端。
根据中国人民银行发布的《中国集成电路卡规范》,卡片认证终端合法性的过程,叫做外部认证。终端认证卡片合法性的过程,叫做内部认证。
外部认证:
外部认证使用对称算法。每张卡片中都会有一个用于外部认证的秘钥——其实就是一串数字,有16个字节长。
每一张银行卡的这个秘钥都是不同的,发卡的时候是使用银行的一个母秘钥对卡内数据,比如卡号,进行运算,得到这张卡得秘钥,然后写进卡里。进行交易的时候,卡片要求终端使用该秘钥对当次交易的数据(比如交易金额,交易时间,交易货币代码等等)进行运算,算出密文输入进卡片。合法终端可以从后台获取银行的那个母秘钥,并且能够读取到卡中的卡号等公开信息。(是的,卡号是随便读的,毕竟它不就印在你的卡上么)终端就可以算出你卡内写的那个秘钥是多少,然后用这个秘钥按照卡片的要求加密数据传送到卡片中,卡片用内置的秘钥进行校验,校验通过,则认为该终端是合法终端。
认证了终端的合法性以后卡片才允许终端做一些高级别的交易,比如修改电子现金余额。然而卡号,有效期这样的数据是不需要认证就可以从卡片中读出来的。
于是有的人说了,这不还是可以随便复制么?找张白卡写上同样的卡号?好,关键点来了:终端认证卡片合法的依据是IC卡私钥!IC卡私钥!IC卡私钥!
内部认证:
IC卡私钥就是内部认证用的。内部认证使用的是非对称算法。国际算法是RSA,现在在努力推行国密算法sm2,然而……呵呵。
非对称算法的特点是,有两个秘钥(也就是两串数字),分别叫做公钥和私钥。一段明文经过私钥运算之后,就变的他妈都认不得了。但私钥并不能把它变回原样,必须用对应的公钥才可以让它重回母亲怀抱。银行卡内就存着一个IC卡私钥,这个私钥也是每张卡都不一样的。一旦写入卡里,就再也没人知道这私钥是什么了。
卡片负责保证IC卡私钥的安全,任何情况下都不会被泄露。连发卡的银行也不知道一张卡片里面的IC卡私钥是什么。进行内部认证的时候,终端根据卡片内读出的公开的信息,可以计算出卡片的IC卡私钥对应的公钥是什么。(这个过程很复杂,期间需要跟发卡行的后台以及CA认证中心进行认证,就不展开说了,反正合法的终端可以获得IC卡公钥)然后终端发给卡片一些数据,通常是随机数,卡片用卡内存储的IC卡私钥对这个数据进行加密,把密文输出给终端。终端用IC卡公钥解密,确认是刚才自己发给卡得那几个随机数,则认为卡片是合法的卡片。
所以,如果要复制芯片卡,就必须要得到这个每张卡都不一样的,连银行都不知道是什么的,从来都不会被以任何形式输出IC卡私钥!
磁条降级交易
但多位业内人士表示,实际上当复合卡被当做磁条卡来刷卡消费时,“安全性与磁条卡一样,没有丝毫提高。”一位不愿具名的中国银联技术工程师证实了这个说法,“复合卡是物理上兼容了芯片卡的功能,和磁条卡符合的标准是一样的。”复合卡原则上应该插入芯片消费,但如果消费不成功,磁条刷卡也是可以的。上述银联技术工程师从技术上印证了这一说法:“复合卡有一种功能,当芯片交易失败后,就会‘降级’为磁条卡交易方式。”
但“降级交易”始终属于过度,央妈觉得过渡期已经够长的了,于是2016年6月13日,央行下发特急文件《中国人民银行关于进一步加强银行卡风险管理的通知》,通知中规定:自2017年5月1日起,全面关闭芯片磁条复合卡的磁条交易。各商业银行应采取换卡不换号、实时发卡等措施加快存量磁条卡更换为金融IC卡的进度。
众所周知目前几乎所有的盗刷行为都发生在磁条卡上面,这是因为普通的银行卡磁条上仅有三轨信息,很容易被复制,而犯罪分子就瞅准了这个漏洞,专门利用ATM机、POS机加装盗取银行卡信息设备盗取银行卡信息,进而制作“复制卡”进行盗刷,但如果换成芯片卡,复制克隆卡的难度就增加很多,小编目前还未曾听说过单芯片卡被复制盗刷的案例。
所以鉴于以上原因,POS圈支付网推测,传统手刷或渐渐遭到淘汰,而市场将赢来较大变动,因为如今的市场缺少刺激点,大部分手刷品牌不论从费率还是功能方面都是千篇一律,而非接功能的刷卡头的出现或许会成为一张超级安全牌,谁能最先打出这张安全牌成为热门噱头,让我们拭目以待。