芯片信用卡也遭盜刷了？ 原來芯片特殊處理后密碼會(huì)以假亂真

　　看看你包里的信用卡正面有沒有芯片?不管有沒有有，下次換的新卡一定會(huì)有，因?yàn)閾?jù)央行規(guī)定，自2015年1月1日起，各銀行將不再新發(fā)行磁條卡。淘汰磁條卡、全面使用芯片卡是全球金融機(jī)構(gòu)的一件大事，理論上將讓卡片支付變得更便捷、安全。在整體換代完成前，咱來聊聊IC卡的一些黑歷史(當(dāng)然這也不完全賴卡)。5個(gè)大盜7000筆交易，40張傀儡信用卡據(jù)連線報(bào)道，幾個(gè)不法分子在法國(guó)盜刷了60萬(wàn)歐元，嫌犯于2011–2012年先后落網(wǎng)，他們?cè)谛庞每ㄉ献龅氖帜_旋即水落石出。他們用來盜刷的信用卡不但塑料外觀幾可亂真，特殊處理后的芯片還會(huì)把隨意輸入的密碼認(rèn)做正確密碼。失去了主觀意識(shí)的 “傀儡信用卡” 就是他們的核心科技。

　　一直以來，芯片+密碼兩步認(rèn)證體系存在一些理論上的薄弱環(huán)節(jié)——讀卡器與芯片的信息交換。當(dāng)買家插卡輸密碼的時(shí)候，讀卡器會(huì)與芯片確認(rèn)所輸密碼的正確性。聰明的小偷發(fā)現(xiàn)，只要攔截住這個(gè)請(qǐng)求，再代替原芯片回答讀卡器不就行了?他們還真做到了。動(dòng)過手腳的芯片同樣可以收到讀卡器的 “確認(rèn)” 請(qǐng)求，此時(shí)它會(huì)自動(dòng)回復(fù) “正確”，無論輸入的是什么數(shù)字。給這個(gè)流程打個(gè)比方：老師在課堂上提問，你小聲說出了正確答案，結(jié)果坐第一排的二傻子站起來大聲吼出了錯(cuò)誤答案——老師被他唬住了，也覺得對(duì)!法國(guó)犯罪分子共盜取了40張信用卡，制作出40張傀儡卡，共進(jìn)行了超過7000筆刷卡交易，購(gòu)買了大量的彩票和香煙。幾千筆交易出現(xiàn)后，盜刷地點(diǎn)的規(guī)律終于被發(fā)現(xiàn)，“他們總是在相同的地點(diǎn)作案，這就是他們的破綻?！盭光下看個(gè)清楚早在2010年，劍橋大學(xué)的安全研究院也露過這么一手，只是手法要笨拙得多。同樣的，學(xué)者們?cè)谠酒澈筚N了個(gè)芯片，垂簾聽政截取讀卡器請(qǐng)求。這個(gè)裝置被放在一個(gè)盒子里，有一本圣經(jīng)那么大，在盜刷時(shí)還要配合筆記本上的攻擊軟件使用。

　　由于卡片還要用作呈堂證供，鑒證組還不能對(duì)卡片進(jìn)行破壞性拆解，只能在 X 光下粗粗窺見卡片的內(nèi)部結(jié)構(gòu)，證實(shí)了傀儡芯片的存在。鑒證人員隨后反向破解了卡片在被讀取時(shí)的計(jì)算活動(dòng)，發(fā)現(xiàn)傀儡芯片的工作原理與劍橋大學(xué)的實(shí)驗(yàn)原理完全一致，只不過傀儡信用卡比當(dāng)年的實(shí)驗(yàn)版本要精致得多——只比真信用卡厚那么一丁點(diǎn)。鑒證人員稱：“(因?yàn)楹穸嚷源笥谡Ｐ庞每?把仿制卡塞進(jìn)讀卡器有點(diǎn)困難，但還不至于讓人起疑心。”劍橋大學(xué)五年前做完實(shí)驗(yàn)也把發(fā)現(xiàn)告知了國(guó)際芯片卡標(biāo)準(zhǔn)化組織(EMVco)和英國(guó)信用卡協(xié)會(huì)，但兩個(gè)組織都沒有把警示太當(dāng)回事，劍橋如今可以昂首說出那句話：“早跟你說了，咋就不聽勸呢?” 劍橋大學(xué)在采訪中表示，這種攻擊是意料之中的，但對(duì)于盜用者的仿制手藝也是無比驚嘆。哪怕風(fēng)險(xiǎn)在，還是要換代細(xì)思極恐之余，IC卡的換代腳步未曾停歇，全球各國(guó)在這事兒上還沒少花錢，光是美國(guó)的發(fā)卡行就已經(jīng)花了好幾億美金;我國(guó)2015的換卡量將達(dá)到8億張，以10元一張的成本計(jì)算也是好幾億美金。巨量的投入來自全球金融機(jī)構(gòu)的共識(shí)——IC卡是更好的刷卡方案，《新浪財(cái)經(jīng)》說它好在這里：IC卡安全性高，卡內(nèi)敏感數(shù)據(jù)難以被復(fù)制，而且IC卡不僅具有普通磁條銀行卡所有的金融功能，還具備電子現(xiàn)金賬戶，支持脫機(jī)小額支付，可以使用非接觸界面，實(shí)現(xiàn)即刷即走的快速支付和智能卡手機(jī)支付。新卡自有新人盜，把卡揣好是正道。