一挥手,两秒钟,盗走个人账户信息;没验证,无密码,3千万张卡面临风险。
英国《邮报》与多家研究机构的一项合作调查显示,不少非接触式银行卡存在漏洞,窃贼可利用电子装置迅速窃取账户信息,盗刷卡片。
记者体验 盗刷手法易
《邮报》网站1日刊载的一篇报道说,非接触式、即射频式银行卡投入市场5年来,为用户和零售商带来支付便利。不过,随着科技发展,这种卡片逐渐暴露出技术漏洞,让用户成为窃贼和骗子的“待宰羔羊”。
报道说,不少射频卡用户为方便起见,小额付款通常不设密码。一些窃贼从网上购买零件装入手机,贴近射频卡拷走账户信息进行盗刷。
《邮报》记者化身“盗贼”,亲测这一方法。这名记者从网上购买零件,价值30英镑(约合45.6美元),改装手机。他手持手机,靠近“受害人”钱夹,两秒后拷走银行卡信息。
英国纽卡斯尔大学网络犯罪和计算机安全中心研究员马丁·埃姆斯改装这部手机。他说:“我们制造了一部手机,它和射频卡‘说同一种语言’。”
报道说,这一作案手段在人流较多场合极易实现,却难以察觉。用盗取的银行卡信息,可在亚马逊等一些无需支付密码的网站购物。
用户发现卡遭盗刷时,为时已晚。因为用于小额支付时,没有提醒,一些用户把小额支付额度设定为100英镑(152美元)以下。
剑桥大学安全工程学教授罗斯·安德森说,银行卡遭盗刷后,“银行和商家会相互踢皮球推责,输家是信息遭窃取的消费者。受益者是发明这种不合格技术(银行卡)的企业,当然,还有窃贼。”
专家说法 用户受害深
埃姆斯说,改装手机盗取的信息包括银行账户名、16位卡号以及卡的有效期。一些情况下,甚至可以获取最近10次的交易记录。这些信息都是银行验证取信时询问的问题。
“这令人担忧,因为这些信息是窃贼盗取银行账户的基础,”埃姆斯说。他估计,英国大约3千万张射频银行卡遭受威胁。
埃姆斯说:“我们的研究让射频银行卡暴露一系列技术缺陷,在窃贼利用漏洞前,我们亟须银行采取措施。”
英国巴克莱银行去年4月开始发售“更安全”新卡。不过,巴克莱银行只对破损卡或到期卡补换新卡。
原因追踪 地铁闸机漏洞多
《邮报》报道说,射频卡除易遭盗刷外,还易遭误刷。
伦敦交通局先前说,每天收到至少一例投诉,地铁闸机“扣错款”。不少人刷卡进站时,闸机没有从交通卡扣款,而是从射频银行卡扣去0.4英镑(0.6美元)交通费。
伦敦地铁定于2014起识别射频银行卡,可用支付地铁费。
鉴于眼下闸机已经“混淆”卡片。伦敦交通局客户体验部主管沙希·维尔玛说,建议用户把交通卡和银行卡分开放置。
一些消费者几周前投诉马克斯-斯潘塞百货公司和百特文治公司,他们付款时本想用其他银行卡付款,结果卡机“远程”扣除射频卡款项。 张远(新华社特稿)