芯片和PIN信用卡在英国非常常见,并且在美国也正在兴起-与长期使用的美国人相比,人们普遍认为它们更方便,更安全签名卡。但是,纽卡斯尔大学的一组研究人员最近进行了一些令人震惊的实验,一些芯片和PIN卡运营商对此感到担忧。是时候学习事实并保护自己了。
非接触式芯片和PIN技术
更具体地说,使用RFID(射频)的卡有风险识别)芯片,以实现非接触式付款。这意味着,除了一块小芯片外,整个卡上还有一条细小的电线。当电线穿过终端附近时,该电线会产生少量电能,将信息传递给芯片,然后将答复发送回终端以授权付款。
总的来说,这很好。银行和发卡行通常不要求个人识别码用于小额消费(通常不超过20英镑),每个人都很高兴。大宗购买需要输入PIN码,以减少欺诈的可能性。离线交易也有100英镑的上限,该离线交易由卡授权,但直到后来才由银行处理。不幸的是,该系统无法按计划工作。
欺骗技术
纽卡斯尔大学的团队发现了一种有趣的方式来解决Visa实施的保护措施,并在他们的论文“从没有PIN的EMV非接触式信用卡中获取高价值外币交易"。他们发现这些保护措施被外国交易所欺骗,通常会让终端在最多包含八位数字的卡上收费,可能总计为$ 999,999.99或€999,999.99。大概是为了允许使用需要大量金额的货币进行外汇交易,例如日元,韩元或印尼盾。
不幸的是,卡中的芯片不知道是否它在日本,韩国,印度尼西亚或伦敦的一家超市。它还不知道零售商的非接触式终端和可以放在口袋中携带的被黑终端之间的区别。您可能会认为很难在口袋里随身携带一个被黑的终端,但是纽卡斯尔的团队设法通过为支持NFC的Android手机编写了一个应用来做到这一点。小偷要做的就是将卡片放在桌子上,或者将其撞到您的钱包中,以使手机与您口袋中的卡片距离足够近,这就像在开车时被NFC破解一样。 p>
此方法不仅绕过了20英镑的限额,而且还绕过了100英镑的离线交易限额,这意味着小偷在交易进行时可能离您很远,即使您确实得到了银行发出的一条短信,说已检测到可疑交易,小偷打你时你根本不知道你在哪里。
该论文的作者说,如果有人利用这一优势对于系统中的这一弱点,他们可能将无法获得999,999.99美元,因为这会在银行引发其他警报(当然,除非您是经常在其上花费一百万美元的人之一信用卡)。即使他们能够从碰到的每个人身上获得50英镑的收益,这也可能会增加一笔巨款。您有多少人经常碰上地铁站,或者在拥挤的大街上走?
保护自己
本文的作者建议Visa采取一些不同的措施以保护其客户免受此类攻击,例如在处理外币交易之前始终要求输入PIN或在线验证。 Visa对这项研究的回应是说,他们还有其他保障措施,这不会有问题(但我们之前已经听说过类似的事情)。在Visa进行具体修复之前,保护自己是个好主意。
避免此问题的最简单方法也是最简单的方法:不要使用非接触式卡。如果您的银行为您提供选择,只需选择非接触式选项。很简单如果您不经常旅行,也可以要求银行禁止使用外币付款。如果您选择这两个选项中的任何一个,您都不必担心。
您还可以使用信号阻止钱包,例如我们去年谈论的RFID阻止钱包。对于这些钱包是否真的有效以及是否需要它们存在很多分歧,但是使用一个钱包肯定不会使您更多容易受到这种攻击。从时尚的皮革钱包到坚固的聚碳酸酯保护套,您可以使用多种选择来阻挡信号。有些人也只是用锡箔纸包裹他们的卡片,尽管再次有人质疑这种方法的有效性。甚至有人建议使用Altoids罐。
Whether or not Visa is telling the truth about their other safeguards catching an attack like this—and whether or not RFID-blocking wallets really do their job—it’s important to be aware of potential threats like this. Contactless cards are really useful, but they haven’t been around in large numbers all that long, so we still need a bit of time to get them all figured out.
您如何看待这种威胁?您是否担心非接触式卡的安全性?您使用非接触式卡还是RFID钱包?在下面分享您的想法!
图片来源:通过Shutterstock浅焦点的信用卡(已编辑),通过Wikimedia Commons的Swisstack,小偷在偷窃了一个走在大街上的男子的钱包。
