射頻技術(shù)能否有效防范信用卡欺詐？（一）

　　Target的大規(guī)模數(shù)據(jù)泄露事件有一個(gè)好處就是讓人們認(rèn)識到，即便是最強(qiáng)大的安全系統(tǒng)也有可能被黑客侵入。大家都認(rèn)為，Target是一個(gè)典型的多層系統(tǒng)，其防御能力超過了Visa和MasterCard已經(jīng)非常嚴(yán)苛的保障措施要求。但不管怎么說，黑客還是成功侵入，這立刻引發(fā)了人們對于美國信用卡交易為何如此不安全的強(qiáng)烈抗議，并呼吁使用不需要通過讀卡器進(jìn)行“刷卡”這種物理接觸的非接觸式卡片。為平息這種抗議，Visa、MasterCard和American Express一直堅(jiān)持要求零售商必須在2015年10月之前裝上智能卡讀卡器，否則遭受欺詐損失的責(zé)任將完全由他們承擔(dān)。

　　畢竟自1983年以來，智能卡(帶嵌入式IC的卡片，包含加密信息和安全處理能力，但仍需要接觸式刷卡)已在發(fā)達(dá)國家廣泛使用，并大大減少了盜竊行為。美國走到這一步用了那么長的時(shí)間，盡管2013年的欺詐行為使零售商和銀行損失超過了120億美元，但與更新零售POS系統(tǒng)的成本和復(fù)雜性相比，它的成本顯然更低。但是Target的被黑打開了潘多拉的盒子，即使這些卡片本身不是攻擊Target的工具，而且獲得的信息也可能是使用128位密碼加密的(因此對黑客毫無用處)，采用更先進(jìn)支付技術(shù)的趨勢也已經(jīng)不可阻擋。

　　不過隨著技術(shù)的發(fā)展，即使向廣泛使用智能卡邁出了一大步，也不會將零售業(yè)帶入21世紀(jì)。如今的標(biāo)準(zhǔn)是采用無線通信的非接觸式智能卡，不需要在卡片和讀卡器之間進(jìn)行物理接觸的“刷卡”，而基于智能手機(jī)的近場通信(NFC)技術(shù)，也完全消除了對實(shí)體卡片的需要。但在Target被侵入一事的憤怒中很少有人提到一個(gè)關(guān)鍵事實(shí)，那就是卡片本身并沒有問題。

問題不在卡片

　　對Target實(shí)施攻擊的不法分子通過在Target商店的POS終端上安裝惡意軟件，使用“內(nèi)存抓取”工具來抓取交易過程中終端臨時(shí)存儲的數(shù)據(jù)。不過這個(gè)惡意軟件是通過Target公司的Web服務(wù)器安裝到該公司的終端，因?yàn)樵摲?wù)器可以向黑客授予對Target公司終端的訪問權(quán)。一旦安裝到終端上，這些惡意軟件就會在Target公司的網(wǎng)絡(luò)上建立起自己的控制服務(wù)器，將所有盜來的數(shù)據(jù)存儲在Target公司自己的數(shù)據(jù)存儲庫中，直到黑客將其卸載。

　　在Target公司用來掃描網(wǎng)絡(luò)中惡意軟件的40多個(gè)防病毒工具中，沒有一個(gè)發(fā)現(xiàn)它，或者在發(fā)現(xiàn)之后認(rèn)為它是惡意的。這款名為BlackPOS的軟件可以在網(wǎng)絡(luò)犯罪論壇上以大約2000美元的價(jià)格買到，專為繞過防火墻在POS終端上安裝而設(shè)計(jì)。因此，簡單來說，竊賊是從“后端”而不是前端的POS終端進(jìn)入，企業(yè)服務(wù)器才是進(jìn)入點(diǎn)，而不是POS終端。

　　所有的POS終端都會收集數(shù)據(jù)，無論是否需要接觸式刷卡。問題是：是什么使得非接觸式卡比標(biāo)準(zhǔn)卡更安全?它們是否會對信用卡盜竊造成很大影響?對于Target這種系統(tǒng)來說，可能不會有多大影響，但對于大多數(shù)更常見的終端盜竊來說，這肯定是對當(dāng)前系統(tǒng)的一個(gè)重大改進(jìn)，因?yàn)獒槍K端本身的盜竊要頻繁得多。為了說明美國在支付安全方面的狀況，我們來看一下當(dāng)前可行的磁條卡替代品—智能卡、非接觸式卡、近場通信以及與前面三個(gè)都不同的RFID。

　　不太智能的選項(xiàng)

　　在無源RFID系統(tǒng)(最常見的類型)中，讀卡器發(fā)射一個(gè)微弱的信號，該信號由卡上的環(huán)形天線(圖1)捕獲，經(jīng)過校正，使用產(chǎn)生的微小功率來響應(yīng)讀卡器的查詢并進(jìn)行身份識別?？刂葡到y(tǒng)將身份代碼與數(shù)據(jù)庫中的信息進(jìn)行匹配以進(jìn)行身份驗(yàn)證。在這方面，RFID和非接觸式支付有兩個(gè)基本共同點(diǎn)：它們都使用無線技術(shù)，不需要POS讀取設(shè)備和被讀取目標(biāo)之間有物理連接，并結(jié)合IC和存儲器用于數(shù)據(jù)存儲。但它們的相似之處也就到此為止，更多的則是不同之處，例如：

　　無源RFID標(biāo)簽非常便宜(通常不到10美分)，因此非常適合大規(guī)模跟蹤任何可以放置或插入RFID標(biāo)簽的東西。有源RFID標(biāo)簽內(nèi)裝有電池，因此可以發(fā)送突發(fā)信號，但成本要高得多，應(yīng)用范圍不廣。

　　RFID標(biāo)簽幾乎沒有“智商”，而接觸式和非接觸式“智能”卡都具有重要的安全功能，包括安全微處理器、存儲器和密碼處理功能。

　　RFID標(biāo)簽與讀卡器之間的距離可以在約15cm(無源)甚至192m(有源)，而出于安全考慮，非接觸式卡只能從大約0.6m的距離處被讀取。

圖1：RFID標(biāo)簽使用的組件最少，其中最大的組件是從讀卡器捕捉微弱信號的環(huán)形天線

　　RFID已經(jīng)自然發(fā)展成為一種應(yīng)用技術(shù)，在這些應(yīng)用中，RFID的力量使其更具優(yōu)勢，比如包含持有人照片的護(hù)照就屬于這種應(yīng)用。在2005年，沃爾瑪啟動(dòng)了一個(gè)計(jì)劃，要求其前100名供應(yīng)商將RFID標(biāo)簽貼在運(yùn)往其配送中心的貨物箱子和托盤上，后來這個(gè)計(jì)劃又?jǐn)U展到了所有供應(yīng)商。該公司的報(bào)告稱，貼上了RFID標(biāo)簽的缺貨商品的補(bǔ)貨速度比該計(jì)劃實(shí)施前快了三倍。美國國防部和其他許多公司也跟著采取了同樣的措施，如今，無源RFID技術(shù)在許多行業(yè)都得到了廣泛應(yīng)用。

　　簡單來說，雖然RFID系統(tǒng)在跟蹤型應(yīng)用中已遍地開花，但由于不夠智能且安全功能有限，因此除了少數(shù)情況外，它們一般還無法用于交易處理。

　　智能卡

　　在這里必須要提一下智能卡(圖2)，因?yàn)樗亲钕缺辉O(shè)計(jì)用于交易處理的卡片，以克服“啞”磁條卡的安全限制。智能卡提供重要的安全功能，包括使用對稱DES(數(shù)據(jù)加密標(biāo)準(zhǔn))、3DES(三重DES)或公鑰RSA加密技術(shù)(密鑰長度高達(dá)1024位)的主動(dòng)加密身份驗(yàn)證。

圖2：顯示訪問內(nèi)部電子設(shè)備的聯(lián)系人的通用智能卡

　　智能卡采用包含存儲器和微處理器的嵌入式IC，其八個(gè)外露的金屬墊端接直流電源、POS讀卡器的再處理、時(shí)鐘信號、接地和串行I/O。板載處理器(目前通常是一個(gè)32位RISC處理器，運(yùn)行頻率最高達(dá)32MHz)執(zhí)行指令，而控制器管理進(jìn)出卡片和讀卡器的數(shù)據(jù)流。智能卡還包含三種類型的存儲器：用于永久存儲指令的ROM、用于臨時(shí)存儲的RAM，以及用于運(yùn)行應(yīng)用程序的E-PROM。

　　非接觸式卡

　　非接觸式卡保留了上述智能卡的組件和安全功能，不過它用類似于RFID中的射頻功能取代了智能卡的電氣觸點(diǎn)，并且它不需要與POS讀卡器進(jìn)行物理接觸。另外它還通過以下舉措提升了安全性：不需要每次交易都輸入PIN，但在一定數(shù)量的交易后，讀卡器會要求用戶輸入PIN來維護(hù)安全性。

　　每筆交易的金額也有限度，目前這個(gè)限額相當(dāng)?shù)汀?995年，非接觸式卡首次在韓國用于電子票務(wù)，美國的許多人可能還記得Exxon(?？松梨?在20世紀(jì)90年代末部署的Speedpass(快速通行)系統(tǒng)，現(xiàn)在仍有許多Exxon加油站在使用。此后，MasterCard(萬事達(dá)卡)、Citibank(花旗銀行)、JPMorgan Chas(摩根大通)、American Express(美國運(yùn)通)和許多其他組織都開始采用非接觸式技術(shù)。目前使用非接觸式技術(shù)的系統(tǒng)包括Visa的PayWave、American Express的ExpressPay和MasterCard的PayPass系統(tǒng)。