用一台移动POS机,悄悄靠近皮包放在后口袋的人,感应他的感应式信用卡,是相当惊悚的可能,钱就这样不知不觉被刷走。而不少3C周边厂商看准商机以及恐惧心理,推出RFID blocking功能。但是RFID shield究竟是不是人类恐惧的产物下,保心安的科技护身符,本文将从技术还有信用卡签单的程序,一一探究。
移动支付要尽量可能将原先用现金进行交易的日常商务行为,转成电子形式。除了靠手机载体采用NFC或是QRcode的移动支付,信用卡组织也提供技术,让信用卡发卡银行推出感应式信用卡,交易时不必实体过刷卡机,加快交易速度,提供消费者方便的购物体验。但是,真有可能随便张三李四凑到你身边,用所谓RFID Skimming手法,拿着行动签单机,在持卡人不注意的情形下,就盗刷成功了吗?
感应信用卡越来越普及,流程管控仍完善
目前信用卡各大信用卡组织,如JCB、VISA、Mastercard,各自推出自己的感应支付解决方案JPass、VISA payWave、Contactless。消费者只有认明式支持哪家的感应支付方案,拿出卡片在一定距离,正对着感应区域,轻松过卡完成交易。
This is why you need an RFID shielded wallet. Be careful !!#InfoSec #Security pic.twitter.com/GHqUWKeTx3
—Khalil Sehnaoui (@sehnaoui) May 11, 2019
但如果加上银行是跟商家签约处理签单,商家都在信用卡签单处理银行都有留下联系信息。其他人并不是随便拿台签单机交易就会过,伪装成商家的不法分子,骗取持卡人不注意让卡片被感应刷到。不法分子顶多能拿到RFID发出的信息:姓名、卡号和失效日期,取得的信息有限。
再来从刷卡流程来探究,银行在进行交易签单的时候,在不同的国家或地区须符合当地法规,交易要确认进行,需要输入四位数字的PIN码。有时候规定超过多少金额门槛,还需要持卡人签名。
的确这一年代能够读取RFID信号的设备变多,连手机都可以读取。读取距离长达15厘米,只要贴近持卡人就有机会读到信用卡RFID数据。芯片护照也有类似问题,然而护照封面的材质特别找能挡掉RFID信号,只有在打开护照才有读取芯片的可能性。新一代感应信用卡越来越安全,比起旧的信用卡,新的感应信用卡RFID发送信号会加密处理再发送,减少未经授权人士拦截到数据的风险。
RFID Skimming尽管技术可行,但一般商家和签单处理银行需要签约才能处理签单作业,不法分子大费周章的忙碌,还有经济效益并不大的问题。常常能找到不少非法物品或服务的暗网,失窃的信用卡是热门商品。要在暗网购买失窃信用卡,除了卡号、持卡人姓名、失效日期,还包含卡片后面CSV三码,比起慢慢一个人一个人扫描感应,还要省时间,而且得到的信息还更多。
你有没有在搭公共汽车或地铁时,不小心让两张电子票劵叠在一起,造成读卡器无法读取的情形?一般人皮包中同时放两张感应信用卡,行动签单机也往往难以读取正确数据,无法成功签单完成信用卡交易。个人层面除了叠两张感应信用卡,钱包不要放在裤子后面口袋,尽可能放在前面的口袋,减少歹徒趁你不注意偷偷扫出RFID发送的信息。
监管单位与发卡组织未发现RFID Skimming案例
经询问金管会银行局承办人,他指出技术上的确有可能,但是目前在台湾并没有传出案例,金管会目前也并没有采取特别防范措施。
尽管有人能靠自己的感应设备读取感应式信用卡信息,但后续的交易认证机制无法过关,并无法从银行端拿到钱。 (Source:科技新报)
信用卡发卡组织Visa则说,确保支付安全性向来是Visa的首要使命,而感应式支付卡和传统支付卡一样安全,感应式支付卡具备多重保安机制,包括EMV芯片技术、低交易限额、短读卡距离与加密技术等,让支付卡近乎不可能被伪造。
Visa和金融机构也随时监控每一笔交易,判别任何可疑或不寻常的交易活动,防止盗刷情况发生。EMV芯片卡在每笔交易中都会产生一组独特的代码,而这组代码只有发卡银行能进行验证。因此,即便被窃取支付卡数据经过终端机也大多无效。在感应式支付交易过程中,付款信息是借由无线射频技术传递到终端机,付款信息被拦截的机会极微小。
Visa支付卡距离终端机必须低于2英英寸以下且接触角度正确,付款信息才能被传输。即便付款信息被盗取,没有付款地址、卡片背后的三位验证码以及由芯片产生的一次性密码,盗刷情况也近乎无法成立。事实上,到目前还没有任何类似的盗刷案例发生。
(Final Visa AcuPunked Short Version from Starburst Productions on Vimeo.)
信用卡发卡组织Mastercard则是指出,通过感应方式进行的交易,会需要POS机端切换为感应模式,另外有特殊芯片的信用卡或是感应式支付设备,也会加密传输的数据。
双因素认证与生物识别的移动支付方案也是好选择
如果想从技术保护信用卡安全性,采用具备双因素认证的移动支付方案也是好选择,不论是输入PIN码还是角膜、指纹识别,多一道防护安全性更高。
CES大会上3C周边区的确不少家包承包商,看中大家心中的恐惧,推出RFID shielded相关产品,完全阻隔RFID信号不小心被不相干人等读到。尽管目前国内外并无案例,造成信用卡被盗刷的情形。也许为了隐私考量,保护信用卡卡号或持卡人信息,可以考虑这些RFID shielded皮包或是包包,若有你喜欢的类型下手购买,当作现代保命符保护你生命财产安全。
(首图来源:ING Nederland “CC BY-SA 2.0”, via Wikimedia Commons)