交通運輸部路網中心解讀ETC卡盜刷事件

作案工具只需要一個POS機。

用POS機在隨意一輛裝有 ETC 裝置的汽車風擋前面,輸入刷卡金額100塊,然後輕輕一刷,點擊確認,就可以從 ETC 速通卡中扣款了。

這簡直是一種變態的盜竊方法。

而且,真的有人錄製了通過這種方法盜刷ETC卡的視頻。

在第一時間詢問了360無線電安全研究部(獨角獸團隊)的負責人楊卿。他確認了這種盜竊方法的可行性。

之前的 ETC 速通卡本身就是帶有 NFC 功能的信用卡,而現在很多 ETC 速通卡都直接使用銀行的信用卡。而最新的信用卡一般都開通了“閃付”功能,“閃付”的最大特點就是可以免密支付。
“閃付”(QuickPass)是銀聯的非接觸式支付產品及應用,是為了小額快速支付而研發的功能。從技術上來說,就是通過 NFC 功能進行支付校驗。

而為了小額支付的方便性,NFC 銀行卡/信用卡用戶一般都會開通免密支付的“閃付”,也就是說,對方在扣費的時候,是不需要卡主輸入密碼的。換句話說,如果卡主不在現場或者不知情,也同樣可以扣費成功。

當然,這種方便的支付方法顯然存在漏洞,於是銀聯限制了用戶的免密碼免簽名的小額支付的額度,額度為300元。而且是在銀行卡內開設獨立的閃付賬戶,不和主賬戶連通。超過這個數額,就需要密碼或簽名記賬。

這也是為什麼POS機刷速通卡的時候,輸入的金額為100元的原因。(輸多了刷不出來)

其實,楊卿和團隊研究 NFC 支付已經有很長時間了,相比車而言,人們先要擔心一下自己的錢包。

現在 NFC “閃付”功能的銀行卡/信用卡很普及,每個人的錢包里,都有可能有帶有這樣的卡片。黑客利用POS機,或者改裝過的POS機設備,只要在你錢包旁邊略過,就可以把閃付賬戶里的錢划走。

事實上,楊卿和獨角獸團隊早就意識到了閃付卡的風險。

在2016年的頂級國際黑客大會BlackHat Europe 和 CanSecWest 上,他已經對 NFC 閃付功能的漏洞做了詳細的演講。並且利用自製的設備,放在黑手套里,現場展示了如何從你身邊走過,就盜走了你的錢。

而且, 通過讀卡設備,還可以讀到銀行卡最近十筆交易記錄。(如果你剛好去過如家速8和等等不可言狀的場所,後果不堪設想)

NFC 設備的讀取距離一般是 5cm,而 ETC 速通卡由於是插在貼在擋風玻璃的裝置內,所以用無線POS機讀取擋風玻璃內的銀行卡,是真的可以成功的。
楊卿說。

之前,楊卿和團隊也專門開發了一款360卡防,正是用來保護NFC銀行卡安全的產品。

你可能會問,我的錢被別人用POS機刷走了,難道在銀行系統里不會有記錄嗎?

沒錯,銀行系統確實有記錄,但是只能追溯到POS機。具體情況和有關部門對POS機的監管嚴格程度相關。

而且,很多人可能無法意識到小額賬戶的金錢損失,也可能不會為了100塊錢去報案。
說到這裡,有 ETC 卡的你是不是已經驚出一身冷汗了呢?楊卿給出了一些建議:

1、對於車而言,沒人的時候把卡從ETC裝置里取下來收好。

2、對於錢包而言,可以使用屏蔽錢包,或者在NFC銀行卡屏蔽卡套。或者使用卡防等保護NFC安全的產品。

---------------------------------------------

12月13日,一個利用移動POS機刷取客戶車上的粵通卡銀行聯名卡視頻,瞬間引爆朋友圈,人人自危,好像下一秒就輪到自己的卡被盜刷一樣……

針對此事,交通運輸部路網中心第一時間與中國銀聯進行了聯繫,了解相關情況,並進行解讀!

為何ETC卡會被盜刷?

經與中國銀聯確認,視頻中的情況是利用了銀聯卡小額免密免簽功能,通過“閃付”功能直接刷取與ETC聯合發行的銀行卡賬戶資金,並非ETC卡賬戶資金。

其他形式ETC卡是否會被盜刷?

ETC卡目前有三種形式:
1.交通行業發行的單用途ETC卡
不具備金融功能,不存在此風險;

2.交通行業與銀行聯合發行,客戶持有一張交通行業單用途ETC卡和一張銀行借記卡或貸記卡
車輛上使用的ETC卡也不具備金融功能,不存在此風險

3.交通行業與銀行聯合發行二合一的卡片
如有“閃付”功能且開通了小額免密免簽功能聯名卡的銀行賬戶可能存在此風險。

小額免密免簽是什麼?是否有風險?

據銀聯專家稱,小額免密免簽服務是中國銀聯聯合各成員機構為滿足持卡人和商戶快速支付業務需求而推出的創新服務。

該服務為持卡人提供支付便利的同時,通過一系列保障措施,來確保信息安全,讓持卡人放心使用。
三大保障措施:
●優質商戶白名單
●交易限額
●交易監控

此外,中國銀聯聯合各商業銀行為持卡人提供了小額免密免簽專項風險保障服務,持卡人一旦發現異常雙免交易,可第一時間聯繫發卡銀行申請補償。銀聯還對持卡人掛失前72小時內被盜刷消費金額提供賠付。

同時“小額支付免密免簽”POS機的申請要經過人民銀行認證,所有交易記錄均有備案及查詢,確保用卡環境安全可靠。

如何保障ETC卡資金安全?

●發卡方默認關閉小額免密支付
為保障客戶利益,我們將儘快與合作銀行協調,在今後的發行工作中,]默認關閉聯名卡的小額免密免簽功能,此功能是否開通由用戶決定。

另外對已發行的相關卡片,我們也將主動聯繫用戶,提示風險,建議用戶關閉“小額免密免簽”功能,關閉后不影響公路通行。

[ 此N被明遠在2016-12-15 08:34重新 ]

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
太阳能发电

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: