央视“3·15”晚会曝光了一个存在于POS机上的漏洞,不法分子不需要银行卡密码也可以轻易刷走用户卡上的资金。而近日,记者通过实验发现,一些具有“闪付”功能的银行卡也存在类似漏洞,威胁到客户的个人信息安全。
使用特制的读卡器,隔着厚厚的*包和衣服就能把闪付卡的数据读取。而这些数据可能涉及卡主的姓名、身份证号等个人信息。目前个人仅能通过有**功能的卡套等方式来**“闪偷”。
发现
闪付银行卡存漏洞可泄露隐私信息
上个月,苹果手机正式推出“苹果支付”功能,只要将手机靠近有银联“闪付”标志的读卡器,不用密码,短短几秒钟就能完成付款。便捷的体验,让“闪付”消费*爆起来。而没有苹果手机的用户,也可以通过具备“闪付”(Quick Pass)功能的银行卡,在读卡器上轻轻一放,同样不用密码,短短几秒钟就能完成付款。
据了解,“闪付”卡是金融IC卡的非接触式支付产品。在小额快速支付时无需使用密码和签名。虽然各个银行的要求不同,但通常金额不会超过1000元。
记者通过实验发现,仅通过一个薄薄的读卡器,“闪付”卡上的个人信息就可能被泄露。
通过实验发现,每家银行在卡内“存储”的个人信息并不**一样,但几乎都包含卡主姓名的拼音、卡号,以及近期通过“闪付”“网银”“ATM”和普通POS机进行过的消费。而个别银行卡,甚至可以刷出用户的身份证号。
而据了解,在海淘的时候,很多国外商城网站只需要***卡主姓名、银行卡号和银行卡有效期就可以支付购物。国外已经出现类似**行为。
实验
1
读取内容:
瞬间读取卡内身份证号等信息
记者准备了一张拥有闪付功能的银行卡、一个360安全**自制的读卡器,以及配套的信号接收器和电脑。记者注意到,自制的接收器主体也只有一张银行卡大小,只是其中一端多出了几毫米厚的芯片和天线而已。
把读卡器放到这张银行卡上,几乎同时,该卡片主人的信息就出现在了电脑屏幕上。内容则包括了卡主的姓名、身份证号,*近10次的消费、取现、转账记录等。
而从读取的记录上看,这名卡主在近期消费比较规律,连续3天都在同一时间、同一便利店购物;晚上吃饭也在同一区域;平均每顿饭的消费金额约为500元。而由于从这张银行卡上还可以读出身份证号,因此卡主的年龄、出生地也**是秘密。
记者又使用了另外6家银行发行的“闪付”卡进行测试发现,身份证号并不是“必备”信息,但通过消费记录“拼接”卡主的消费习惯、生活范围甚至收入水平都不是什么难事儿。
2
读取距离:
5厘米内*包放兜里也能读
为了验证读卡器的“威力”,记者把读卡器“停”在了卡的上方,测试其*大读取距离。结果发现在两个手指厚,也就是将近5厘米的距离以内都可以读取。而在5至6厘米则偶尔出现信号;大于6厘米,没有阻碍也难以收到信号。
记者还发现,不论*包里有多少其他卡片或现金,也不论*包放在什么材质的衣服里,中间隔着多少层布,只要卡片距离读卡器在5厘米以内,几乎都可以读取。
实验中记者把装有闪付卡的*包放入裤兜中,读卡器贴上*包扫描时只有轻微的感觉而且时间非常短。如果在公共场合或是正专注地玩手机,这样的触碰不容易引起注意。此外,在实验中,安全**把读卡器藏在了手套中,由于体量很小,如果没有发现其手掌处有芯片造成的突起,很难被发现。
3
安全防范:
薄薄一层锡纸就能管用
单看实验结果,似乎只有把银行卡深藏到书包内侧,否则就“防不胜防”。而如果把卡“深藏”起来,也就失去了“闪付”的便利性。
为此,安全**表示,防范手段其实很简单。首先,可以购买一个有防电磁功能的*包或者卡套。因为其具备隔绝信号的功能,银行卡不仅可以免于被消磁,也可以挡住读卡器发射的信号。
记者在网上搜索发现,这样的*包几乎都在百元以上,几乎都是硬质材料,而且样式比较单一。
为此,**告诉记者,只要在*包的夹层内放上一层薄薄的锡纸,一样可以起到隔绝信号的作用。
**向记者展示了他的“卡套”,从外表看只是一个普通的硬纸壳,但在内侧贴上了薄薄的一层锡纸。把卡放在里面,不论读卡器距离多近,都读不出卡里的信息。
说法
**:IC银行卡均可读取信息目前仅用于交易验证
记者了解到,截至目前,360安全**已经对十多家银行所发的IC芯片储蓄卡和***进行了测试,这些银行卡都符合《中国金融集成电路(IC)卡规范》,目前只有个人信息可被读取。但由于各银行的各自规定不同,可以读取的信息内容和数量有着较大的差别。
据中国工商银行的**介绍,具备“闪付”功能的银行卡都属于金融IC卡。其卡片上的芯片支持非接触射频识别功能,属于国际通用的技术标准。而在我国发行的“闪付”卡,也需要符合银联发布的《银联卡业务运作规章》等相关规定。
据介绍,这种使用芯片交易的机密数据如密钥和证书,在现有技术条件下是无法被读取和破解的,因此,在使用上,IC卡是目前*安全的。目前,在全球范围内尚未发生过芯片银行卡被复制导致伪卡欺诈的案例。
而通过读卡器可以读取到姓名、消费记录等信息,主要是因为在交易过程中,终端需将上述信息通过加密的方式传递给发卡银行进行交易验证,才可完成交易。
在提醒个人客户加装“卡套”等自护设备的同时,安全**建议,银行业在大规模推行“闪付”的同时,仍然需要对现有的技术规范进行升级,尽量隐藏个人敏感信息,以免被不法分子窃取。
对于记者在实验中发现的问题,**表示,建议客户增强安全意识,在公共场合保护好自己的卡片,不可外借,并应防止密码、卡号、有效期、安全码等卡片信息及个人信息外泄。