無(wú)論是在收銀臺(tái)、加油站還是在互聯(lián)網(wǎng)上，各種非現(xiàn)金支付方式已經(jīng)成為了我們?nèi)粘Ｉ畹囊徊糠?，在部分年輕人的生活中其所占比例甚至已經(jīng)超過(guò)了現(xiàn)金支付的部分。然而，現(xiàn)有的電子支付方式相對(duì)落后，金融機(jī)構(gòu)正嘗試采用智能手機(jī)等無(wú)線通信技術(shù)來(lái)實(shí)現(xiàn)更快速的支付功能，特別是NFC（Near Field Communication，中文名稱為近場(chǎng)通信，又稱為近距離無(wú)線通信）更是被寄予了厚望。但是無(wú)線支付技術(shù)的安全性如何呢？CHIP將告訴大家NFC已知的安全問(wèn)題，揭示攻擊者是如何捕獲NFC信用卡數(shù)據(jù)并進(jìn)行盜用的。

除了新的技術(shù)，其他電子支付方式也同樣面臨危險(xiǎn)，各種新的攻擊手段層出不窮，被操縱的自動(dòng)柜員機(jī)（ATM）、被破解的銀行終端、隱藏在QR碼背后的釣魚網(wǎng)站，支付危險(xiǎn)越來(lái)越多。那么我們?cè)撊绾螒?yīng)對(duì)這些危險(xiǎn)呢？

NFC：錢是這樣被偷走的

NFC是由RFID（Radio Frequency Identification）演變而來(lái)的技術(shù)，所有數(shù)據(jù)都存儲(chǔ)在一個(gè)小型的RFID芯片中，芯片上的信用卡數(shù)據(jù)是未經(jīng)加密的，任何人都可以輕松讀取其中的數(shù)據(jù)。在華盛頓的黑客大會(huì)上，黑客克里斯汀佩吉特介紹了盜取NFC信用卡號(hào)碼和到期時(shí)間的方法，而現(xiàn)如今只需在智能手機(jī)上安裝適當(dāng)?shù)膽?yīng)用程序就可以捕獲這些數(shù)據(jù)。為了測(cè)試相關(guān)的技術(shù)是如何盜取NFC芯片中的信用卡數(shù)據(jù)的，我們?cè)谥С諲FC技術(shù)的三星Galaxy Nexus手機(jī)上安裝了相應(yīng)的應(yīng)用程序，并嘗試收集編輯部人員的信用卡數(shù)據(jù)。實(shí)踐證明，在手機(jī)和信用卡直接接觸的情況下，我們可以輕松地獲得信用卡的數(shù)據(jù)。不過(guò)，我們知道，根據(jù)NFC的ISO標(biāo)準(zhǔn)，讀取設(shè)備完全可以在100mm的距離內(nèi)讀取數(shù)據(jù)，而不需要接觸。

與此同時(shí)，我們也發(fā)現(xiàn)了一個(gè)值得慶幸的事情，那就是存儲(chǔ)在NFC芯片上的一個(gè)重要信息，信用卡的3位數(shù)字CVV（信用卡驗(yàn)證值）代碼沒(méi)有能被盜取。因此，如果小偷要利用偷來(lái)的NFC信用卡數(shù)據(jù)在互聯(lián)網(wǎng)上消費(fèi)，那么他只能夠在一些不要求輸入CVV驗(yàn)證代碼的網(wǎng)店上使用。因此，NFC芯片數(shù)據(jù)被盜的風(fēng)險(xiǎn)并不比在網(wǎng)上或在餐廳中使用信用卡大，我們?cè)谫?gòu)物站點(diǎn)上消費(fèi)時(shí)所提供的信用卡數(shù)據(jù)遠(yuǎn)比NFC芯片泄漏的要多。在餐廳，我們需要將信用卡交給商家，商家可以盜取包括CVV驗(yàn)證代碼在內(nèi)的所有數(shù)據(jù)，甚至還可以復(fù)制我們的信用卡。唯一不同的是盜取NFC信用卡數(shù)據(jù)的攻擊者可以不用接觸我們的信用卡，這加大了我們保護(hù)信用卡數(shù)據(jù)的難度。

要避免陌生人讀取信用卡的數(shù)據(jù)，有一個(gè)簡(jiǎn)單的技巧，那就是用一個(gè)金屬防護(hù)罩或鋁箔屏蔽配備NFC芯片的銀行卡。而要徹底避免可能因NFC芯片泄漏數(shù)據(jù)而產(chǎn)生的信用卡被盜用風(fēng)險(xiǎn)，則只能夠依賴金融機(jī)構(gòu)對(duì)于商家的規(guī)范化管理，例如確保信用卡必須在驗(yàn)證CVV代碼之后方可使用。以往，國(guó)內(nèi)大部分金融機(jī)構(gòu)與國(guó)外的金融機(jī)構(gòu)一樣，用戶無(wú)需為信用卡被盜用的損失負(fù)責(zé)，但是2012年法院出現(xiàn)判定持卡人必須為信用卡被盜用負(fù)部分責(zé)任的案例，在金融機(jī)構(gòu)沒(méi)有改變這種試圖讓持卡人為此負(fù)責(zé)的做法之前，是否應(yīng)該拒絕使用NFC信用卡以避免可能存在的風(fēng)險(xiǎn)是一個(gè)值得深思的問(wèn)題。

中繼攻擊：NFC攻擊的明天

以色列特拉維夫大學(xué)的兩名研究人員進(jìn)一步揭示了無(wú)線通信支付方式的危險(xiǎn)。按照研究人員的介紹，使用他們的中繼攻擊法，可以盜用NFC信用卡的所有數(shù)據(jù)，即使卡和讀卡器之間使用了強(qiáng)大的身份驗(yàn)證和加密算法。

所謂的中繼攻擊，就是用一個(gè)自制的讀卡器和假卡來(lái)實(shí)現(xiàn)攻擊。黑客可以在被害人和銀行終端之間通過(guò)中繼器傳輸信用卡的數(shù)據(jù)，實(shí)時(shí)盜用被害人的信用卡數(shù)據(jù)進(jìn)行交易。一個(gè)想象中的攻擊場(chǎng)景：小偷接近一個(gè)帶有NCF芯片信用卡的人，讀卡器激活信用卡并將數(shù)據(jù)轉(zhuǎn)發(fā)到附近的假卡上，并在同一時(shí)刻使用假卡冒充真卡進(jìn)行交易。

據(jù)研究人員的介紹，中繼攻擊最大的困難是使用讀卡器激活被攻擊者身上的信用卡，因?yàn)楦鶕?jù)相關(guān)的ISO標(biāo)準(zhǔn)規(guī)范，讀卡器的有效讀取距離只有100mm。不過(guò)，研究人員已經(jīng)克服了這一困難，他們通過(guò)增強(qiáng)讀卡器的發(fā)射信號(hào)強(qiáng)度，將有效讀取距離加大到了500mm，并能通過(guò)軟件過(guò)濾產(chǎn)生的干擾，實(shí)現(xiàn)了近乎完美的遠(yuǎn)距離數(shù)據(jù)傳送。讀卡器與假卡之間的數(shù)據(jù)傳輸距離可以長(zhǎng)達(dá)50m，黑客可以在較遠(yuǎn)處的消費(fèi)場(chǎng)所盜用被害人的信用卡數(shù)據(jù)進(jìn)行消費(fèi)。

幸好，目前這種攻擊仍然只存在于技術(shù)層面上，因?yàn)樗仨氃贜FC芯片的信用卡被廣泛使用之后才可能出現(xiàn)。然而，這種方法讓我們不難預(yù)見，未來(lái)NFC支付方式可能存在的危險(xiǎn)有多高。

在線服務(wù)：竊取數(shù)據(jù)更容易

攻擊在線服務(wù)站點(diǎn)是獲得用戶信息更簡(jiǎn)單的途徑，只需要成功侵入一個(gè)網(wǎng)站的數(shù)據(jù)庫(kù)，即可獲得數(shù)以十萬(wàn)計(jì)的用戶姓名、電子郵件、賬戶數(shù)據(jù)和信用卡號(hào)碼。而大部分人在其他網(wǎng)站上也會(huì)使用同樣的賬號(hào)和密碼，或者使用相關(guān)的信息作為網(wǎng)站取回密碼的驗(yàn)證信息。因此攻擊者可以通過(guò)收集到的信息，輕松地進(jìn)入許多大型購(gòu)物網(wǎng)站和電子支付站點(diǎn)的賬戶，獲得這些賬戶里的錢。

在攻擊者對(duì)入侵在線服務(wù)站點(diǎn)的興趣越來(lái)越濃厚的同時(shí)，各大網(wǎng)站被黑客入侵，泄漏大量用戶數(shù)據(jù)的丑聞也在頻頻發(fā)生。時(shí)至今日，泄漏用戶數(shù)據(jù)的網(wǎng)站名單已經(jīng)很長(zhǎng)，而其中也包含大量國(guó)內(nèi)的中文站點(diǎn)?；旧?，用戶在線存儲(chǔ)的信用卡資料完全沒(méi)有安全可言，許多在線服務(wù)站點(diǎn)在沒(méi)有能力保護(hù)服務(wù)器安全的同時(shí)，也沒(méi)有妥善地保護(hù)用戶的個(gè)人信息。索尼公司的游戲站點(diǎn)在被黑客攻擊之后，泄漏的不僅僅是用戶的賬戶名和密碼，甚至還包括用戶的信用卡數(shù)據(jù)。該公司將這些對(duì)于用戶來(lái)說(shuō)萬(wàn)分重要的數(shù)據(jù)以未加密的形式存儲(chǔ)在服務(wù)器上，唯一受到保護(hù)的僅有信用卡的CVV驗(yàn)證代碼。

除了入侵網(wǎng)站數(shù)據(jù)庫(kù)以外，攻擊者還有許多方法可以盜取用戶的個(gè)人信息，例如很多人所熟知的釣魚郵件。

QR代碼：圖形化的惡意代碼

對(duì)于釣魚郵件或者釣魚網(wǎng)站的鏈接，有經(jīng)驗(yàn)的用戶可以在鼠標(biāo)指向鏈接時(shí)，在狀態(tài)欄中觀察鏈接的實(shí)際地址并發(fā)現(xiàn)可疑的蛛絲馬跡，但是通過(guò)QR代碼（二維碼）隱藏的圖形化鏈接，由于無(wú)法直接查看，所以即使有經(jīng)驗(yàn)的用戶也可能會(huì)毫無(wú)防備地打開。類似的攻擊對(duì)于經(jīng)驗(yàn)不足的用戶將更加有效，在用戶通過(guò)一個(gè)QR代碼打開一個(gè)網(wǎng)站時(shí)，會(huì)更容易被帶到一個(gè)釣魚網(wǎng)站上。這并非危言聳聽，2011年年底，安全公司卡巴斯基實(shí)驗(yàn)室已經(jīng)在許多網(wǎng)站上發(fā)現(xiàn)了隱藏惡意代碼的QR碼。

國(guó)外電子支付服務(wù)站點(diǎn)PayPal也使用QR碼來(lái)引導(dǎo)手機(jī)用戶進(jìn)行消費(fèi)，開發(fā)人員清楚這些代碼可能存在的危險(xiǎn)。PayPal的QR代碼只能用于官方的iOS和Android應(yīng)用程序，這看起來(lái)似乎很安全。但其實(shí)危險(xiǎn)仍然存在，因?yàn)橹悄苁謾C(jī)本身可能存在病毒或者惡意軟件，這對(duì)于智能手機(jī)來(lái)說(shuō)并不是什么新鮮事。而在智能手機(jī)本身可能被竊取數(shù)據(jù)和控制的情況下，通過(guò)手機(jī)處理和操作一切數(shù)據(jù)都不再有任何安全性可言。

智能手機(jī)：刷卡的風(fēng)險(xiǎn)

智能手機(jī)的病毒與惡意軟件除了可能影響QR碼的應(yīng)用安全以外，也會(huì)影響其他通過(guò)智能手機(jī)操作和驗(yàn)證的電子支付服務(wù)。

PayPal的“PayPal Here”以及國(guó)內(nèi)的“卡拉卡”等電子支付方式允許用戶在智能手機(jī)上通過(guò)麥克風(fēng)端口連接一個(gè)讀卡器，并安裝相應(yīng)的應(yīng)用程序，讓任何人都可以隨時(shí)隨地刷卡和接受他人的信用卡付款。這種電子支付方式極大地?cái)U(kuò)展了信用卡的使用范圍，為許多用戶提供了方便。但是類似的設(shè)備除了可能被濫用以外，還為攻擊者提供了更多的機(jī)會(huì)，因?yàn)橹悄苁謾C(jī)是很容易被操縱的，而恰恰絕大部分智能手機(jī)用戶對(duì)于系統(tǒng)以及相關(guān)安全知識(shí)都一無(wú)所知。

攻擊者只需要在智能手機(jī)系統(tǒng)的后臺(tái)運(yùn)行一個(gè)惡意軟件，即可隨意地復(fù)制刷卡信息。只要智能手機(jī)存在漏洞，這一原本極具吸引力的電子支付功能將變得非常危險(xiǎn)。因而，如果無(wú)法確定智能手機(jī)的安全性，那么就需要謹(jǐn)慎地考慮是否使用類似的支付方式。

略讀器：讀取銀行卡

磁條缺乏安全性是眾所周知的事情，它已經(jīng)被定位為落后過(guò)時(shí)的技術(shù)，但是時(shí)至今日大部分的信用卡和儲(chǔ)值卡仍然必須依賴它。為了盜取銀行卡磁條中的數(shù)據(jù)，攻擊者使用被稱為“略讀”攻擊的手段，在自動(dòng)取款機(jī)上安裝所謂的略讀器來(lái)讀取磁條信息。為此，許多銀行正開始升級(jí)他們的自動(dòng)取款機(jī)，例如使用被稱為“蛙嘴”的特殊形狀銀行卡插入口，或者在銀行卡插入插槽時(shí)增加抖動(dòng)和抽搐的動(dòng)作，讓攻擊者難以在卡槽上安裝略讀器，或者即便已經(jīng)安裝了略讀器也無(wú)法正常地讀取磁條。此外，銀行逐漸加強(qiáng)了內(nèi)部的安全機(jī)制，因而自動(dòng)提款機(jī)的略讀器攻擊已經(jīng)變得越來(lái)越少見了。根據(jù)銀行所獲得的信息，目前“略讀”攻擊已經(jīng)逐漸從銀行的自動(dòng)取款機(jī)轉(zhuǎn)移到超市等設(shè)備相對(duì)落后的地方。

此外，歐洲以及國(guó)內(nèi)的許多金融機(jī)構(gòu)，正開始推廣集成EMC芯片的銀行卡以取代使用磁條的銀行卡，但是由于許多終端設(shè)備仍未更新?lián)Q代成支持EMC的銀行卡，因此許多EMC銀行卡仍然帶有磁條。而且，EMC芯片本身也存在一些安全隱患，早在2010年，劍橋大學(xué)的研究人員已經(jīng)發(fā)現(xiàn)了EMC卡可能存在的安全漏洞，能夠使用任意的密碼驗(yàn)證被盜的銀行卡。

在2011年12月1日，在加拿大溫哥華的安全會(huì)議上，一些研究人員演示了如何通過(guò)一個(gè)非常薄的略讀器窺探EMC卡的密碼，不過(guò)，由于無(wú)法從EMC卡中讀取到所有的信息，所以在沒(méi)有原卡的情況下密碼沒(méi)有任何作用。

黑客遠(yuǎn)程攻擊：破解終端

攻擊自動(dòng)取款機(jī)和其他的銀行卡終端，通常需要在銀行卡的終端設(shè)備上安裝一個(gè)硬件，例如所謂的略讀器。不過(guò)，柏林的安全研究實(shí)驗(yàn)室（SRLabs）的安全專家托馬斯羅斯已經(jīng)發(fā)現(xiàn)了一種不需要硬件即可實(shí)現(xiàn)攻擊的方法，那就是直接入侵銀行的終端設(shè)備。事實(shí)上，銀行終端設(shè)備使用的系統(tǒng)同樣可能存在安全漏洞，甚至它們有的還在使用我們耳熟能詳?shù)腤indows系統(tǒng)。因而，攻擊者只要能夠知道終端設(shè)備的IP地址，就同樣能夠通過(guò)緩沖區(qū)溢出等漏洞攻擊銀行終端設(shè)備。

除此之外，也有一些攻擊者通過(guò)銀行卡讀取器等銀行終端，利用終端的調(diào)試接口直接進(jìn)行破解。在終端設(shè)備被破解的情況下，用戶的銀行卡信息自然是一覽無(wú)余，攻擊者甚至還可以輕松地改變交易的內(nèi)容，變更交易金額和窺探銀行卡的密碼。而對(duì)于用戶來(lái)說(shuō)，類似的攻擊根本防不勝防。幸好，在銀行終端被入侵導(dǎo)致用戶銀行賬戶出現(xiàn)問(wèn)題時(shí)，金融機(jī)構(gòu)很難將責(zé)任歸咎于用戶。

銀行如何追查詐騙案

銀行大多不愿意透露他們是如何保護(hù)自己免受攻擊和發(fā)現(xiàn)數(shù)據(jù)竊賊的，根據(jù)安全專家提供的有限信息，金融機(jī)構(gòu)安全專家通常會(huì)積極地與執(zhí)法部門合作，盡快地發(fā)現(xiàn)可能存在的危險(xiǎn)。銀行通常采用自主研發(fā)的監(jiān)控系統(tǒng)，實(shí)時(shí)收集系統(tǒng)內(nèi)的各種交易信息，并有大量的人員專門負(fù)責(zé)從收集到的信息中發(fā)現(xiàn)可疑的交易。例如一個(gè)客戶的信貸額度耗盡，并且這種消費(fèi)方式和速度與其以往的習(xí)慣不同，在有疑問(wèn)的情況下，銀行通常會(huì)盡快聯(lián)系客戶確認(rèn)其賬戶的安全。

如果出現(xiàn)幾個(gè)存在共同點(diǎn)的案件，安全專家將盡快分析案件，找出其共同點(diǎn)和出現(xiàn)問(wèn)題的原因。例如檢測(cè)結(jié)果可能顯示案件皆出現(xiàn)在加油站旁的某一臺(tái)終端上，那么該終端設(shè)備可能被操縱。不過(guò)，根據(jù)銀行安全專家的介紹，目前，大約75%的案件源自互聯(lián)網(wǎng)，通常此類案件很難排查，更難以根除。

保護(hù)自己免受攻擊

使用預(yù)付費(fèi)卡

如果只是偶爾進(jìn)行在線付款，那么使用預(yù)付費(fèi)卡替代信用卡是比較好的選擇，即使出現(xiàn)問(wèn)題，我們損失的也只是卡內(nèi)的有限資金。

保護(hù)：自動(dòng)柜員機(jī)（ATM）、網(wǎng)上服務(wù)。

檢查鏈接和QR代碼

郵件中的鏈接必須仔細(xì)檢查后才可以訪問(wèn)，鼠標(biāo)停留在鏈接上時(shí)我們可以看到鏈接的真實(shí)地址。而QR碼則需要專用的應(yīng)用程序才能夠檢查其真實(shí)性，例如“Barcode Scanner”和“BeeTagg QR Reader”。

保護(hù)：在線服務(wù)、網(wǎng)上銀行、本地?cái)?shù)據(jù)。

電腦和手機(jī)都必須使用最新的防病毒軟件

只有最新的防病毒軟件才能夠保護(hù)我們，除此之外，我們還必須為電腦準(zhǔn)備能夠恢復(fù)系統(tǒng)的救援光盤，例如“Sardu tool”（www.sarducd.it）。

保護(hù)：在線服務(wù)、網(wǎng)上銀行、本地?cái)?shù)據(jù)。

開啟短信確提醒

開啟所有銀行和電子支付服務(wù)的短信提醒功能，確保在銀行和電子支付賬戶資金出現(xiàn)變動(dòng)時(shí)，能夠在第一時(shí)間知道并及時(shí)進(jìn)行處理。

保護(hù)：自動(dòng)柜員機(jī)（ATM）、網(wǎng)上服務(wù)、網(wǎng)上銀行。

使用多個(gè)密碼和郵件地址

包含敏感信息的網(wǎng)上服務(wù)決不使用通用的密碼，而且盡可能不要和其他網(wǎng)站使用同一個(gè)電子郵箱作為用戶名，避免在電子郵箱受到攻擊時(shí)波及其他網(wǎng)站的賬戶。

保護(hù)：在線服務(wù)。

處理意外事故

凍結(jié)銀行卡

提前了解凍結(jié)銀行卡需要的手續(xù)與注意事項(xiàng)，以便在銀行賬戶出現(xiàn)異常時(shí)，能夠在第一時(shí)間凍結(jié)賬戶資金，確保將損失降到最小。

信用卡盜刷

了解自己所使用的信用卡被盜用時(shí)的責(zé)任認(rèn)定標(biāo)準(zhǔn)與追訴期限，在期限內(nèi)定時(shí)檢查信用卡對(duì)賬單，及時(shí)發(fā)現(xiàn)并追回被盜資金。

使用電子支付服務(wù)的安全服務(wù)

檢查自己所使用電子支付服務(wù)能夠提供哪些額外的安全服務(wù)，開通一切能夠增加安全性的服務(wù)，并提前了解賬戶被盜或者出現(xiàn)異常時(shí)的解決方法。

使用電子支付移動(dòng)證書

支付寶等電子支付服務(wù)可以申請(qǐng)支付盾，這是一種存儲(chǔ)在硬件上的移動(dòng)證書，這樣即使我們支付寶賬戶被盜，也不會(huì)損失任何資金。

竊賊如何盜用NFC卡

小偷接近一個(gè)帶有NFC芯片信用卡的人，讀卡器激活信用卡并將數(shù)據(jù)轉(zhuǎn)發(fā)到附近的假卡上，再使用假卡以真卡的數(shù)據(jù)進(jìn)行交易。

難以發(fā)現(xiàn)的略讀器

EMC略讀器背面是存儲(chǔ)數(shù)據(jù)的零部件，略讀器的正面與EMC的芯片接觸。略讀器是如此之薄，可以安裝于各種銀行卡插槽上，輕松讀取插入的銀行卡的密碼。

帶震動(dòng)功能的寬闊插槽

銀行為解決略讀器的問(wèn)題，會(huì)采用特殊設(shè)計(jì)的銀行卡插槽。

破解終端設(shè)備

安全專家發(fā)現(xiàn)部分銀行終端設(shè)備存在漏洞，通過(guò)漏洞可以滲透進(jìn)終端，甚至能夠通過(guò)互聯(lián)網(wǎng)上的惡意軟件進(jìn)行操作。在德國(guó)大約有30萬(wàn)的銀行終端設(shè)備受到影響。

安全監(jiān)測(cè)

Targobank的安全監(jiān)測(cè)系統(tǒng)，能夠監(jiān)控所有的交易，在出現(xiàn)可疑情況時(shí)發(fā)出警報(bào)。

境外購(gòu)物支付方式

當(dāng)我們?cè)趪?guó)外使用信用卡支付時(shí)，收款方依照當(dāng)?shù)劂y行認(rèn)證的客戶身份請(qǐng)求進(jìn)行授權(quán)。請(qǐng)求通過(guò)網(wǎng)絡(luò)運(yùn)營(yíng)商轉(zhuǎn)發(fā)到服務(wù)提供商（收單銀行）進(jìn)行支付數(shù)據(jù)處理。信貸機(jī)構(gòu)將請(qǐng)求發(fā)送到國(guó)內(nèi)服務(wù)供應(yīng)商，并從那里轉(zhuǎn)發(fā)到銀行總部，銀行的客戶數(shù)據(jù)處理中心將檢查并給予我們的信用卡以授權(quán)，讓我們可以成功完成支付。