前言
从银行卡面世以来,全球针对银行卡的攻击都从未停止过。据统计,全球各国每年的银行坏帐总数高达几十亿美元,为何银行卡的安全为何屡遭挑战?大众应该如何保障银行卡的安全?未知攻?焉知防!本期将对EMV芯片卡、PBOC芯片卡的4种攻击方法以及每种方法针对的安全问题进行详细分析,并提供有效的防范方法。
EMV芯片卡面临的安全威胁
什么是EMV?什么是PBOC?
EMV是全球银行芯片卡使用标准,中国银联的标准是PBOC,EMV命名来源于于Europay(欧陆卡,已被万事达收购)、MasterCard (万事达卡) 与VISA(维萨)三大国际组织英文名称的字首所组成。EMV芯片卡的出现是为了解决一直困扰银行业多年的银行磁条卡被复制、克隆盗刷问题。
传统的磁条卡很容易被复制、克隆,然后进行正常消费盗刷,因为它内部的数据是静态的。而EMV卡在每次进行交易的时候,都会动态的创造一个独特的交易码 (见下图中紫色部分),但是经过分析,发现其实是将磁条卡的二轨信息,加密后进行动态储存,外围包裹着的动态校验,有效的保护了里面的二轨信息的安全(见下方图1中紫色部分的黄色框住部分),按理说EMV芯片卡动态校验技术可以大大减少银行卡被盗刷的情况。
通过软件读取到EMV芯片卡内的信息结构
但美国已在2015.10.01在新卡发行时使用EMV全面替换磁条卡后,全球EMV芯片银行卡被盗刷的事例却并不没有减少。
那么,是否使用EMV卡之后,我们的银行卡内资金就是安全的了?
芯片卡的出现在一定程度上遏制了愈演愈烈的银行磁条卡复制事态,一时间让大量攻击者不知所措。银行也对芯片卡的表现很满意,是否就能从此高枕无忧了呢?然而好景不长,很快,安全研究人员开始关注EMV协议的漏洞并成功找到了利用方法。
经过分析,目前针对EMV芯片银行卡或PBOC芯片银行卡的有效攻击手法,现在经过验证的有贴卡中间人攻击、交易快照劫持攻击、认证中间人攻击、强制读取内核密钥四种攻击方法。
1、贴卡中间人攻击
贴卡中间人攻击出现的时间较早。这类攻击的主要特点为:攻击者需要取得用户原有EMV卡的芯片;攻击者无需知道用户PIN码即可完成取款操作。
经分析整理出这种攻击的思路为:黑客首先需要窃取合法用户的芯片卡A,之后提取出原芯片并与构造的恶意芯片卡B对接,芯片卡B在整个交易过程中充当中间人的角色,可与原芯片和POS互相实时传输信息,最终形成恶意贴片卡C。攻击者持有卡C在POS机交易的过程中,可绕过PIN码验证环节,即输入任意PIN码,均可实现正常交易。通过对整个交易流程的分析,得出攻击流程图如下图所示。
通过软件读取到EMV芯片卡内的信息结构
攻击者利用伪造卡,在POS机终端和原卡芯片中形成了中间人攻击,详细过程如下图所示。第一步:POS机首先向伪造卡请求持卡人信息,伪造卡转发请求至原卡并获得正确的EMV卡片信息,之后转发给POS机终端;第二步:攻击者在POS机上输入任意的PIN码,POS机向伪造卡发送PIN码,并请求对PIN码进行校验。伪造卡转发校验请求至原卡,原卡校验PIN虽然失败,但在伪造卡传输至POS机的过程中,校验信息被修改为始终为TRUE。最终绕过了脱机密码校验,使得攻击者输入任意PIN码,均可正常交易。
EMV芯片卡中间人攻击示意图
2、交易快照劫持攻击
虽然存在上述贴卡中间人攻击攻击方法,但因为利用条件极其苛刻,所以没有出现形成针对EMV银行芯片卡的规模化有效攻击。然而就在8月4号的2016US-BlackHat大会上,来自RAPID7的高级安全工程师Weston Hecker 通过一个小小的名为“La-Cara”装置,针对EMV银行芯片卡进行攻击,在15分钟内让ATM机吐钞$20000-$50000。下图为 Weston Hecker和他的助手在大会上演示他的成果。
Weston Hecker与助手现场演示ATM吐钞
这种攻击特点为:整个攻击过程需要两部设备,实时性传输交易快照。
具体的攻击方式为:攻击者首先利用通过植入La-Cara模块收集数据,整个植入过程不需要打开机器,在外部即可植入;之后当用户利用此台设备进行交易时,La-Cara即可获取到用户的实时交易快照,之后通过信道传输快照后在另一台ATM上重现,进行实时攻击。
经过分析,攻击流程如图所示。
EMV芯片卡ATM攻击流程
交易快照劫持攻击针对的安全弱点主要为交易过程中交易快照可被捕获,并且没有抗重放攻击机制(此种方式可操作性并不强,因此没有形成规模化攻击)。
3、认证中间人攻击
同样在这一天的黑帽大会上,两位NCR的研究人员Nir Valtman和PatrickWatson向大家展示了另一种攻击EMV卡的方法。他们用被动和主动的中间人攻击来代替密码键盘设备密钥库和文件。为了获取用户的PIN码(身份验证码),攻击者在交易流程中劫持屏幕信息,要求用户输入PIN码的界面,如图所示,从而捕捉明文形式的PIN码。
屏幕注入后界面
认证中间人攻击攻击特点为:不需要盗取原用户的芯片;需要用户输入正确的PIN码。攻击的详细流程如下图所示。
用户正常交易时序
实施中间人攻击后的时序图
经过对比,我们可以得出,当用户进行交易时,攻击者在支付程序与POI(Payment points ofInteraction)中充当了中间人的角色,获取EMV卡内信息,包括信用卡验证值CVV码,在近一步获取到用户的PIN码之后,最终完成交易。
针对弱点:认证中间人攻击的攻击思想与贴卡中间人攻击类似,都是针对整个交易过程中缺乏对交易对象的身份进行认证,从而获取关键的EVM信息以及PIN码,进行后续恶意行为,达到盗刷的目的(可通过改装POS机,在用户插芯片卡进行交易时进行窃取信息)。
4、强制读取内核密钥
在上面所述的第3种认证中间人攻击的基础上,黑客不仅获取EMV卡内信息、信用卡验证CVV码、甚至PIN密码等信息,然而,无论是EMV芯片银行卡还是PBOC芯片银行卡,它们的安全性所依赖的关键点是以下两种核心技术:
1、密钥
2、动态校验
而2019的黑客技术大会上,来自中国台湾地区Ecfevred从另一方向对EMV芯片卡进行了突破,不去理会EMV的加密算法,直接通过物理方式强制读取到底层内核密钥,并在EMV动态校验数10秒的时间内,成功获取到密钥,并与EMV芯片原卡进行动态校验同步,使获取到的数据保持与原芯片卡一致。
针对EMV芯片卡强制读取内核密钥及动态校验同步
此时,不再需要原卡,使用获取到的数据,即可制作出一张与原卡一致的芯片卡,但该方法需要获取到原芯片卡,因使用条件苛刻,也并没有形成规模化,在生活中的危害性并没有第3种方法高。
而如果不法分子使用第3种方法+第4种方法,即通过第3种方法改装POS机获取芯片卡内的信息,再通过第4种方法,制作出一张与原卡一致的芯片卡(克服第4种方法需要原卡的弊端),这无疑将会对全球银行业整体安全构成一种全新的挑战,不过幸运的是,无论是第3种或第4种方法,均需要一定的技术,并不是像以前的磁条卡那么简单,这应该能减少相关金融欺诈事件发生。
综上所述,EMV、PBOC芯片卡的出现虽然在一定程度上解决了磁条卡容易被复制的情况,但是随着新的攻击方法的出现,芯片卡也面临着新的挑战。在使用芯片卡的过程中也要看到芯片卡存在的安全隐患,安全问题万不可掉以轻心。安全之责,任重而道远!
克隆储蓄卡
不法分子利用非法渠道,在用户不知情的情况下盗取复制用户的银行卡信息,并盗取银行卡内资产的行为。银行克隆卡案件层出不穷,用储蓄卡消费危险四伏。还要请大家平时提高警惕,避免银行卡被盗刷。
详细情况
2011年8月19日,工行储户童先生在澳门一商铺被盗刷83万元。
2011年11月1日,农行储户李女士,在南昌市的“春兰黄金珠宝店”和南昌市中山路的ATM机,7分钟内被盗刷9万、取现2万。
2011年12月15日,工行储户殷先生人在马来西亚,收到短信获知自己的银行卡被盗刷35万。
2012年2月27日,工行储户黄先生,在安徽安庆某体育用品商户9分钟内被盗刷18.4万。
……
这些案件,全部都发生在广州,发生在你我身边。根据权威部门提供的数据显示,广东地区利用“克隆卡”盗刷案件迅速上升,单工商银行在广州地区的年发案数就从上年的28宗,激增到超过300宗。
案例
【案例一】 工行储户人在国外,卡被盗刷35万
2011年12月8日,殷先生在工商银行广州华夏路支行ATM机提款1万元,随后前往马来西亚。2011年12月15日,身在马来西亚的殷先生收到银行短信,称其账户消费352728元,然而银行卡一直在殷先生手中并未离开过。“肯定是卡被盗刷了!”殷先生立马意识到情况不妙,并随即致电国内工行客服热线了解情况并挂失。据查实,产生盗刷的交易地点是位于东莞常平的“幸福首饰店”。
带着这一念头,殷先生立刻向工商银行马来西亚吉隆坡分行提出要求鉴别其银行卡真伪,力求保留有利于自身的证据。“但当时马来西亚工行告知我无法鉴别我手上卡的真伪,由此造成重要证据的丢失。”而国内工行客服则让殷先生尽快到公安局报案。于是殷先生乘坐飞机在案发次日晚回到广州,并于一早便向广卫街派出所报案。
根据银行提供的消费记录,作案者利用储蓄卡消费不设上限的缺点,在“幸福首饰店”通过直接购买容易变现的黄金,实现瞬间盗刷。据殷先生陈述,这张卡是其2007年在工商银行广州越华路支行(现银山支行)开的储蓄卡,从来没有遗失过也没有向其他人透露过密码。“警方调出了交易当时的录像,已经证实了刷卡者不是我本人,我还签署一份不是我所认识的人的声明。”
“我一直把卡带在身上,而且也没有向他人提供密码。”殷先生认为,银行有责任保障储户的资金安全,出现银行卡被盗刷的情况时,银行应该承担举证的责任。
“银行建议走司法程序,但一旦进入司法程序,我就完全处于弱势地位。从目前已结案的盗刷案件来看,由于储户缺乏足够的证据证明银行有过失,胜诉的几率极小,大部分都只获得50%的赔偿。”殷先生提出了他的担忧。
【案例二】9分钟被盗刷18万,客户报案起诉
在广州做生意的香港人黄先生收到了一条奇怪的短信,一个“9558 8”的号码发来了一条“您尾号9443卡27日15:16分POS支出100,000元”的消费短信。“工行的号码中间隔了一个空格,因此我怀疑是诈骗的短信,没有太过留意。”不过,隔了1分钟,该号码又发来消费6.35万元的短信。心里并不确定的黄先生马上到中石化大厦的工行网点了解。可是,在他下楼不到几分钟里,却接连陆续收到了多条支出短信。
“一直到我到达工行网点将手机给银行工作人员看时,消费短信仍在陆续发过来。”黄先生表示,其中包括8笔每笔2500元的ATM取现。当时工行员工核查,黄先生的银行储蓄卡的确是被人盗刷了。网点员工让黄先生以最快的速度修改密码,银行马上冻结账户,才阻止了其账户资金的进一步损失。但在短短9分钟内,黄先生共计被盗刷18.4万元。
“银行调出的记录显示,消费是发生在安徽安庆一家体育用品商户。”黄先生表示,他从来没有遗失过该银行卡,也没有向其他人透露过密码,更没有到过安徽安庆。黄先生苦笑着说,幸好其动作快,才得以保存了其账户最后剩下的5万元。
黄先生按照银行的提示已经报案,并正打算立案起诉。
【案例三】农行卡1年未用,7分钟被盗刷11万
2011年11月1日晚8时50分,李女士突然收到短信,被告知自己的农行卡消费了9万余元。李女士立即拨打农行客服电话,却一直未拨通。就在她拨打电话的过程中,又陆续收到短信,提示农行卡分8次每次取现2500元。
李女士回忆,这个过程只有7分钟。等到她拨通农行客服电话时,卡内余额只有不到500元。李女士丈夫随后立即向同德派出所报了案,案发第二日,李女士立即将卡内余额全部取出。
李女士表示,事情的蹊跷之处在于,案发之前的一年中她并没有用过该卡在ATM机、柜员机进行取现、转款等交易,该卡的主要用途就是用来接收客户的打款。“我办理了短信通知服务,卡内资金有任何变动都可以及时获知。”作案人员又是如何获取卡的密码、复制卡磁条的呢?
李女士在银行提供的消费明细中发现,盗刷发生在南昌,通过ATM取现的16个记录共显示了5个不同的ATM编号,并且7分钟内完成,每笔取款相差的时间不到1分钟。按照ATM的编号情况来看,这几台ATM机应该不属于同一个地点。“这意味着可能有几张克隆卡同时在不同的地点取现。”
而另一笔被盗刷的9万元,是作案者在南昌市一家名为“春兰黄金珠宝店”里直接消费。根据消费明细显示,作案者还签了名。“那个人签的姓是张,商户都没有检查是不是持卡者本人,真是不负责。”李女士有些气愤地说道。
李女士称,报案两个月后,越秀区法院才正式立案,不法分子又如何盗取我的信息呢?没有途径啊!希望法院能够给我一个公正的判决。”[1]
【案例四】储户银行卡遭盗刷189万 银行被判全额赔偿
贵州市民刘先生的一张中国农业银行的银行卡被盗刷189万余元,刘随后起诉了开户行中国农业银行六盘水分行,经贵州省高级人民法院判决,由农行六盘水分行赔偿全部损失。
5日上午,贵州省高级人民法院召开新闻发布会,发布了典型案例,刘先生银行卡被盗刷案就是其中之一。据了解,刘先生于2010年7月4日在中国农业银行六盘水分行办理了一张银行卡,并存入195万元,7月14日,他发现银行卡仅剩5万多元。刘先生立即报警,经公安机关侦查,刘先生所持的银行卡被他人非法复制,于7月13日在境外一次性消费了189万余元。刘先生随后起诉农行六盘水分行要求赔偿损失。2012年,六盘水市中级人民法院一审判决,农行六盘水分行需承担70%的责任,支付一百多万元的赔偿,双方均不服判决,上诉到省高级人民法院。
2014年6月,经贵州省高级人民法院审理,最后判决农行六盘水分行履行约定合同,向刘先生付189万元存款和利息。法院认为,刘先生办理了农行银行卡,并与农行六盘水分行签订了合同,双方存在合法有效的储蓄存款合同关系,因此双方均应严格按照合同履行各自的合同义务。储户将存款存入银行,银行有义务保证存款的安全,银行由于技术漏洞而未能保证银行卡的唯一性和不可复制性,并由此造成储户损失,银行有义务负全部责任赔偿储户的损失。
贵州省高级人民法院审判监督二庭庭长余波说,储户办理了银行卡,银行负有保证储户信息不被他人窃取、复制的义务,这是储户对银行的基本信赖期待和维护银行信用基础的基本要求,对于安全漏洞及技术风险,银行理应承担责任。余波表示,通报此典型案例的意义在于,以后全省同类案件可以此作为参考、标杆,统一类似案件的执法尺度,同时也提醒储户要保护好个人信息,希望银行有所警惕,提高防范意识和安全技术等级。[2]
回应
编辑播报
客户应保护好卡和密码
黄先生的盗刷情况发生后,工行广东省分行营业部当时给媒体的书面回复表示,客户向工行网点反映情况后,工行各相关部门召开了紧急会议制定处理方案,并分别与公安、银联、上级部门联系,调取相关资料。“目前,客户已报警处理,我部会积极跟进,与警方密切沟通,提供查案所需要的资料。同时,我部与客户保持沟通,2月29日下午,上级管理行工作人员约见该客户,沟通相关跟进情况。”
工行表示,“对于银行储蓄卡,必须同时凭银行卡及密码才能进行交易,两者缺一不可。如果持卡人不随意将银行卡交给他人使用,不被他人获悉密码,不法分子就无法盗取账户资金。”从公安部门截止目前已破获的案件看,不法分子在刷卡消费过程中盗取持卡人银行卡磁条信息和密码,从而导致资金损失。
律师说法
编辑播报
广东东方衡泰律师事务所陈志华:机具被改装银行难逃其责
广东东方衡泰律师事务所律师陈志华已经陆续接到了近10个银行卡盗刷案件。“我感觉盗刷案件特别多,都集中在了一个时间段爆发。”陈志华在接受记者采访时表示。在他所处理的已结盗刷案件中,储户和银行各担责一半的情况居多。
陈志华告诉记者,银行卡被盗刷需要两个条件,一是银行卡的磁条被复制,二是银行卡的密码被盗取。而案件频发主要原因在于,储户所使用的银行卡磁条极易被复制。
陈志华认为,银行方面并不具有银行卡真伪鉴别的能力,由此才造成了不法分子的猖獗。
截止目前,盗刷案件的争议集中在银行卡密码的泄露方式上。陈志华介绍说,银行卡密码的泄露主要有两种。一种是储户在使用卡过程中的不当导致密码泄露,责任在储户一方。譬如,储户将密码告知他人,密码设置过于简单,借与他人使用卡片等。但储户要证明自己在使用银行卡的过程中不存在过失是非常困难的。
另外一种情况是银行系统的漏洞造成密码被盗取,责任在银行一方。譬如,不法分子在银行的ATM的上装置记忆膜、读卡器,或在ATM旁装置微型摄像头等。陈志华表示,若可以找到监控录像等相关证据,证明储户确实是在银行系统内的场所被盗取了密码,那么银行就必须承担全责。
广东博厚律师事务所主任詹礼愿:应由银行自证清白
不过,这类案件存在被盗资金追溯难、取证难的问题。对于上述殷先生的案例,广东博厚律师事务所主任詹礼愿律师表示,储户采取的各种维权方式,无非就是担心取证困难,会在司法程序中处于劣势地位。
在詹礼愿看来,对于银行和储户之间的纠纷,就应该采取举证倒置的原则。他认为,储户将资金存入银行,银行就产生了对此资金的保管义务,即银行必须保证此资金的安全。银行是掌握储户详尽信息的一方,当储户的信息被泄露时,嫌疑最大的其实是银行,应由银行自证清白。
安全用卡Tips
使用储蓄卡消费危险四伏
从储户的角度来看,只要使用储蓄卡,就不得不时刻面临着陷入不法分子埋伏的危险。键盘记忆膜、微型摄像头、磁条复制器这些可怕的隐形设备,随时可能让储户辛苦劳作挣来的钱不翼而飞。有不愿透露姓名的银行卡研究专家认为,截止目前很多问题出在POS机上。
“现在刷卡消费非常普遍,细心的人可能会发现,不少收银员在客户刷卡输密码时并不回避。若收银员手上的POS机具有复制磁条的功能,其借机偷窥储户输入的密码,就可以一次性拿到储户的磁条信息和密码,太危险了。”
而申请一个POS机的成本并不高,程序也不复杂。一般来说,只要证件齐全,达到银行的准入条件,便可向银行提出安装申请。据了解,国内的POS机分为直连POS机和间连POS机,分别由中国银联和各商业银行提供,银联和各大银行为了扩大自有POS机的覆盖范围,都逐渐降低了POS机安装的门槛,并带来了系列问题。而前段时间,有银行将广州马场路附件一家食肆列为复制盗刷卡嫌疑点。
南方日报记者日前致电工行岗顶分行咨询POS机申请程序时,也被工作人员询问“是自己办理,还是代办”。“鉴于POS机市场的乱象,我建议储户尽量避免使用储蓄卡直接消费。即便使用了,在输入密码的过程中也要有所遮蔽。”上述银行卡专家不无担忧地说道。