你的芯片卡安全吗？这可能主要取决于你的银行账户

知名安全网站 KrebsOnSecurity近日发文称，以芯片为基础的信用卡和借记卡的设计，是为了让盗刷设备或恶意软件无法在你通过蘸取芯片而非刷卡条付款时克隆你的卡。但最近一系列针对美国商户的恶意软件攻击表明，盗贼正在利用某些金融机构实施该技术的弱点，绕过关键的芯片卡安全功能，有效地制造可用的伪卡。

传统的支付卡将持卡人的账户数据以纯文本形式编码在磁条上，磁条可以被窃取设备或偷偷安装在支付终端上的恶意软件读取和记录。然后，这些数据可以被编码到任何其他带有磁条的东西上，并用于进行欺诈性交易。

较新的基于芯片的卡采用了一种被称为EMV的技术，对存储在芯片中的账户数据进行加密。该技术导致每次芯片卡与芯片功能的支付终端交互时，都会产生一个独特的加密密钥--称为令牌或 "cryptogram"。

实际上，所有基于芯片的卡片仍然有很多相同的数据，这些数据存储在卡片背面的磁条上编码的芯片中。这主要是出于向后兼容性的考虑，因为许多商家--尤其是美国的商家--仍然没有完全实现芯片卡读卡器。这种双重功能还允许持卡人在卡的芯片或商家的EMV终端因某种原因发生故障时，可以刷磁条。

但EMV芯片与磁条上存储的持卡人数据有重要区别。其中之一是芯片中的一个被称为集成电路卡验证值或简称 "iCVV "的组件--也被称为 "动态CVV"。iCVV不同于存储在物理磁条上的卡验证值(CVV)，它可以防止从芯片中复制磁条数据，并利用这些数据制造伪造的磁条卡。iCVV和CVV值都与卡背面明显印制的三位数安全码无关，主要用于电子商务交易或通过电话进行卡片验证。

EMV方式的魅力在于，即使有盗刷者或恶意软件成功拦截到芯片卡浸泡时的交易信息，这些数据也只对这一次交易有效，应该不会让盗贼继续用它进行欺诈性支付。

然而，为了让EMV的安全保护措施发挥作用，发卡金融机构部署的后端系统应该检查当芯片卡浸入芯片读卡器时，只出示iCVV；反之，刷卡时只出示CVV。如果这些在某种程度上与某一交易类型不一致，金融机构就应该拒绝该交易。

问题是，并不是所有的金融机构都以这种方式正确地设置了他们的系统。不足为奇的是，盗贼多年来一直知道这个弱点。2017年，Brian Krebs 曾写过一篇关于 "闪烁器 "日益盛行的文章，这是一种为拦截芯片卡交易数据而制作的高科技银行卡盗刷装置。

最近，Cyber R&D实验室的研究人员发表了一篇论文，详细介绍了他们是如何测试欧洲和美国10家不同银行的11种芯片卡实现的，研究人员发现他们可以从其中的4种芯片卡中采集数据，并创建克隆的磁条卡，并成功地用于放置交易。

现在有强烈的迹象表明，Cyber R&D Labs详述的同样的方法正在被销售终端（POS）恶意软件用于捕获EMV交易数据，然后可以转售并用于制造基于芯片卡的磁条副本。

本月早些时候，全球最大的支付卡网络Visa发布了一份安全警报，内容涉及最近发生的一起商户泄密事件，已知的POS恶意软件系列显然被修改为针对EMV芯片的POS终端。

“安全接受技术的实施，如EMV®芯片，大大降低了威胁行为者对支付账户数据的可用性，因为可用数据仅包括个人账户号码（PAN），集成电路卡验证值（iCVV）和到期日期，”Visa写道。“因此，只要iCVV得到正确的验证，假冒欺诈的风险是最小的。此外，许多商户所在地采用了点对点加密(P2PE)，对PAN数据进行加密，进一步降低了以EMV芯片处理的支付账户的风险。”

Visa没有列出受影响商户的名字，但美国东北部的连锁超市Key Food Stores Co-Operative Inc.似乎也发生了类似的事情。Key Food最初在2020年3月披露了一起银行卡数据泄露事件，但两周前更新了咨询，澄清EMV交易数据也被截获。

“涉及的商店地点的POS设备是启用EMV的，”Key Food解释说。“对于这些地点的EMV交易，我们相信只有卡号和到期日会被恶意软件发现（但不会发现持卡人姓名或内部验证码）。”

虽然Key Food的声明在技术上可能是准确的，但它掩盖了一个现实，即在发卡银行没有正确实施EMV的情况下，被窃取的EMV数据仍然可以被欺诈者用来创建磁条版的EMV卡呈现在被入侵的商店收银机上。

此前欺诈情报公司Gemini Advisory发布了一篇博客文章，提供了更多关于最近的商户入侵事件的信息--包括Key Food，在这些事件中，EMV交易数据被窃取，并最终在迎合盗卡者的地下商店出售。

“这次数据泄露事件中被盗的支付卡在暗网中提供销售，”Gemini解释说。“在发现这个漏洞后不久，几家金融机构证实，这次漏洞中被泄露的卡都是按EMV处理的，并没有依靠磁条作为备用。”

Gemini表示，它已经核实最近的另一起数据泄露事件--在佐治亚州的一家酒类商店--也导致了被泄露的EMV交易数据出现在出售被盗卡数据的暗网商店中。正如Gemini和Visa所指出的那样，在这两种情况下，银行适当的iCVV验证应该会使这些被截获的EMV数据对骗子毫无用处。

Gemini认定，由于受影响的商店数量众多，参与这些数据泄露事件的盗贼使用物理安装的EMV卡闪光灯拦截EMV数据的可能性极小。

“鉴于这种策略极其不切实际，他们很可能使用不同的技术远程入侵POS系统，以收集足够的EMV数据来进行EMV旁路克隆，”该公司写道。

Gemini的研发总监Stas Alforov表示，没有进行这些检查的金融机构有可能失去注意到这些卡被用于欺诈的能力。这是因为许多发行了芯片卡的银行可能会认为，只要这些卡用于芯片交易，就几乎不存在这些卡被克隆并在地下出售的风险。因此，当这些机构在欺诈交易中寻找模式，以确定哪些商户可能会被POS恶意软件入侵时，他们可能会完全不考虑任何基于芯片的支付，而只关注那些客户刷过卡的商户。

“卡网络正在抓住现在有更多基于EMV的数据泄露事件发生这一事实，”Alforov说。“像大通或美国银行这样的大型发卡机构确实在检查[iCVV和CVV之间的不匹配]，并将撤回不匹配的交易。但一些小机构的情况显然不是这样。”

磁条卡易复制“盗刷” 芯片卡成本高但相对安全

国庆长假将至，刷卡购物、境外旅游等消费风潮也将席卷而来。随着用卡频率增高，紧盯着信用卡的盗刷分子们也开始活跃起来。但不少人度假归来回到家中时，却收到这样的短信：您刚刚在某国刷卡消费XX元。这往往会让境外购物带来的精神愉悦瞬间消失。据相关数据显示，某大银行去年信用卡平均每日盗刷案例为20多例，其中境内无卡盗刷居半数左右，境外无卡盗刷占了三分之一，而在中秋、国庆期间，单是境内无卡交易盗刷就增加了33.3%。业内人士提醒，在节假日这一刷卡消费高峰期，尤其要注意信用卡盗刷问题。

信用卡遭“海外盗刷”

“去年12月的一天，我一开手机就收到好几条短信，通知我信用卡被刷了近一千元，都是凌晨的交易记录，可是卡就在我身上。”杨小姐至今还有些没回过神来，“我愣了一会，马上打电话让银行把账户给冻结了，查了一下确实是有刷卡记录，而且都是在新加坡的消费记录。”

杨小姐说：“我之前在新加坡旅游，有消费购物过。后来才知道，国内信用卡消费时可以选择设置密码，但在国外，只要有卡号和信用卡的后三码或者持卡人签名，就可以进行消费。可是等银行处理就需要很久的时间，而且银行要求先行垫付，卡片也会被冻结，查明情况后再进行处理，卡片才重新使用，我也只能认栽。”杨小姐表示，朋友圈中不只有她一个人碰到过这种情况，“我有朋友也遇到过，后来自己赔了。银行没说会垫付，她只好先还上，都半年多了还没说法。”

芯片卡相对安全

“境外盗刷”为何频频发生?记者从银行相关人士处了解到，磁条卡有很大的安全隐患，非常容易被复制，只要客户在被犯罪分子处理过的卡槽刷过卡，磁条信息就可能被盗取。而且盗取信息并不需要很先进的技术，一套几百元的设备就能完成。目前，银行卡欺诈风险主要是不法分子采取非法手段利用银行自助设备盗取银行卡信息，复制银行卡后窃取资金，或者由于客户缺乏防范意识，将密码、卡号通过短信、电话、网络等方式无意间泄露给他人。

为了保障信用卡的刷卡安全，2011年，央行颁布的《推进金融IC卡应用工作的意见》称，2013年1月1日起全国性商业银行均应开始发行金融IC卡，2015年1月1日起在经济发达地区和重点合作行业领域，商业银行发行的、以人民币为结算账户的银行卡均应为金融IC卡。不过，芯片卡相对于磁条卡来说更安全，但成本太高。每张磁条卡的成本不过是1元多，而芯片卡成本要40元左右。

规范消费场所刷卡

一家银行的信用卡中心负责人表示，持卡人一旦发现自己的卡片被盗刷，第一时间要跟发卡行打电话，说卡片被盗刷了，要求银行止付，止付之后的损失是由发卡行来承担的。止付之前，很多银行都推出了持卡保障。“比如从你卡片被盗刷，我们受理了你的止付申请这一刻，往前推算48小时，这部分的损失签名交易，有一定的金额限制，银行给支付。”

同时，该负责人建议，出境旅游时，尤其是此类案件多发地区，应该到规范的消费场所刷卡。同时，回国后也应该及时修改密码。信用卡在互联网上遭到盗刷，应该由公安部门根据网站信息取证侦查，提供证明。“可向信用卡中心提供境外大额刷卡卡号对应的信用卡，并提供护照等未出入境证明资料。”一位银行人士建议。

近年来还有不少保险公司推出了“银行卡盗刷险”，对信用卡“盗刷”提供保险业务。不过这些保险有诸多限制，为不为自己的银行卡投一份保险，还需要消费者多加权衡。

中国生活消费，关注生活，引导消费；更多内容请关注中国生活消费网微信公众帐号:chinaxiaofei

相关问答

银行卡磁条加芯片两种都有安全吗-汇财吧专业问答

[回答]是的芯片卡是无法被别人复制的一起前的磁条卡就是因为容易复制所以取消了现在的银行卡加上磁条更安全了1,这是带芯片的磁条银行卡。2,由于磁条很容...

中国银行全币种国际芯片卡怎么样?-其他问题知识问答-我爱卡

[回答]中国银行全币种国际芯片卡是为有出境支付需求的人士精心设计的信用卡产品,采用国际通行EMV芯片标准,具有存款有息、循环信用、分期付款、全球交易人...

没有磁条的卡安全吗?

没有磁条的卡更安全。磁条卡还是以前的时候才出现的,因为以前的芯片技术还不成熟,只能用磁条卡,现在随着芯片技术的发展,芯片卡已经逐步取代了磁条卡,就是因...

银行芯片卡会被复制吗-汇财吧专业问答test

[回答]有芯片的银行卡比磁条卡要安全很多。IC芯片卡的好处:IC芯片卡不易被复制;IC芯片卡使用寿命长,理论寿命为30年,磁条卡仅为10年;IC芯片卡不会被消磁;...

芯片银行卡与磁条卡有什么区别?那个更好呢?

芯片卡属于闪付卡,也叫IC卡,小金额无需输入密码,具体金额要询问银行芯片卡相对比磁条卡安全,不容易被复制,芯片卡同样也有磁条,芯片卡在磁条消磁后也可在AT...

建行etc信用卡的缺点?-其他问题知识问答-我爱卡

[回答]标准卡和普通信用卡一样,独立于ETC卡,一年刷三次卡可以免年费。汽车卡含有洗车功能,但有固定年费200元,满足一定刷卡次数后,一年可以享受52次洗车服...

刚去取钱，提示说请使用芯片卡，是怎么回事啊!我的是农村信用社卡?

现在的卡都升级了,有芯片的卡安全,即使丢了也没有人能破解的了,也复制不了,但是没有芯片的卡就可以复制出来,也不安全现在的卡都升级了,有芯片的卡安全,即使...

农业银行的大额存单算不算理财业务，安全吗?芯片卡真的比磁条卡安全吗?

安全。属于定期存款,人民银行准许的,比一般的存款利率上浮的高。农行大额存单是由中国农业银行面向个人和企业、机构客户发行的记账式大额存款电子化凭证,是...

电信安然卡靠谱吗?

电信安然卡是中国电信推出的一款安全防护卡,通过设置短信、电话、网络流量、通话时长等限制,保障用户的资费消费和信息安全。此卡的使用非常方便,用户只需要到...

银行卡取款时显示请用芯片卡什么意思?

你好!银行卡取款时显示"请使用芯片卡"意思是要求使用具备芯片技术的银行卡进行取款操作。芯片卡是一种集成了微型芯片的银行卡,相比传统磁条卡,它具有更高的安...