近期,多起银行卡被盗刷的新闻让大家很不安:明明银行卡在自己手中,但却被不法分子盗刷取走存款。这种情况真的会发生吗?
论证

前几天,一个判决引发了网民的极大热情:浙江宁波的顾先生,突然发现自己的银行卡被人盗刷,而卡实际上还在自己手里。机智的他赶紧跑到附近的ATM机,往卡里存了100元,并因此获得法院支持,判令银行赔偿他被盗取、盗刷的19万元。

这事虽然有了个欢乐的结局,但还是让许多人心有余悸:这银行卡,到底还安不安全,以后还能不能用啦?

无需用卡,银行卡也能盗刷的情况,还真的是可能发生的。

原理也并不复杂,我们逐一来看下。

 

 

一、卡上有啥?

首先,大家肯定都知道,银行卡里有多少钱,只取决于你在银行账户里存有多少钱。换句话说,哪怕你有本事篡改了银行卡里的数据,也没法给自己的账户上多加几个“零”,取钱时不可能多取到一块钱。

也就是说,一张银行卡,实际上只记录了账户的基本信息,比如帐号(就是那串622开头的16位数字,也可以说就是卡号)、发卡日、有效期等数据,真要到取钱或刷卡消费时,ATM机或POS机,就要读出这些数据,然后交给这张卡的发卡银行,确认余额足以支付本次交易之后,再给你吐钞票或打印交易凭单。

理论上说,每一张银行卡都是独一无二的,帐号就是它的“身份证号”。然而,这个数字仅仅印在卡面上是没有用的,需要用机器能够识别的方法来记录卡号,才便于卡的使用。

最简单的方案,就是磁条卡,也就是早些年银行卡的绝对主流。最早的磁卡是由IBM公司发明的,就是将一根磁条贴在一张硬纸片上——尽管现在的卡片都是用塑料制成,但原理和它并无差别。这种磁条,和老式录音机的磁带是一回事,无非就是把卡号、日期等信息编码,再按照一定的格式,用磁头“写”在卡上的磁条里。用卡时再“刷”一下,磁头就能“读”出磁条里的信息了。

 

图:一张磁条式银行卡

 

升级的方案,则有相当多的变种。

比如,有一种银行卡上,有一个小小的金属方块,使用时需要将这个方块插入读卡器中,我们通常称为接触式IC卡;另一种IC卡只要靠近读卡器,在一定距离就可以识别其中的信息,我们称之为非接触式IC卡,两种的使用都非常广泛。

 

图:一张接触式IC卡

 

二、哪种卡更安全?

那么,对于普通民众来说,哪种银行卡更安全呢?

如果你曾经用过老式的磁带和录音机,对这个问题就比较好理解了:一盘磁带,放在任何一台正常的录音机里,都能顺利的播放出来。也就是说,磁带、磁条里信息储存的格式是通用的、公开的,谁都能将其读出来。

这样的设定,是为了保证银行卡的通用性,无论是哪家银行发的卡,另一家银行的读卡器都能将其正确识别。然而,这也从根本上决定了磁条卡的风险极高:卡主用卡消费时,一个不留神,被宵小之徒偷偷读出磁条里的信息,再找一张空白卡写进去,一张克隆的银行卡就完成了。

我们在刷卡消费时,合法的POS机都体积挺大,很难藏着掖着。但是,有些专门用来盗取银行卡资料的非法刷卡器,却做得非常袖珍,完全可以藏在手心里,收银时轻轻一刷,卡的信息就全出来了,可谓防不胜防。国内外都发生过多起类似案件,其中的主要作案工具就是这种非法刷卡器。(天哪,原来恶意这样……)

 

图:一个小巧玲珑的刷卡器

 

而对IC卡来说,不仅读卡器要读取IC卡的信息,IC卡同时也要鉴别读卡器的真伪,俗称双向鉴权。具体而言, IC卡里有一个微芯片,具备了一定的运算能力,读卡的过程不象磁卡那样一次性读取就完事了,而是双方要按照预先设定的程序,以卡号、读卡的日期和时间等作为参数,代入一个非常复杂的数学公式进行运算,双方各自得到的结果再互相比对,如果一致,才说明是“自己人”,就像是接头暗号,一言不合就不会继续交易。

这个公式一般是由发卡行自行设计的,知道其内容的人非常非常之少,一旦泄密很容易追查。因此,盗用他人银行卡的犯罪团伙,很难获知这个公式的详情,自然也就没法伪造出可以欺骗IC卡的非法读卡器来,相对而言,IC卡要比磁条卡安全的多。

有鉴于此,我国人民银行在2011年发布了《中国人民银行关于推进金融IC卡应用工作的意见》,在全国范围内大力推进金融卡升级工程,用IC卡代替磁条卡,提高用卡的安全性。所以,如果你手中的银行卡还是磁条式的,请尽快到当地的银行升级(几大银行基本都是免费更换IC卡的)。

三、密码有什么意义?

除了银行卡本身的安全性之外,还应该谈谈持卡人的密码问题:

银行卡,可以分为设有密码和不设密码两大类。

不设密码的银行卡,通常都是信用卡,消费时只核对卡背面的签名与签购单上是否一致。当然,不可能每个收银员都有鉴别笔迹真伪的能力,所以这种无密码银行卡的使用是存在一定风险的。通常而言,这种风险由银行承担,并用额度控制和电话、短信提醒等方式尽可能降低。

而对于设有密码(我国的卡,通常是6位数字)的银行卡,无论它是磁条卡还是IC卡,如果密码没有泄漏,则没有实际的风险。因为无论ATM取现还是POS消费,都需要校验密码的正确性,而这个密码信息并没有储存在卡中(只存在于发卡行的服务器上),无论是偷来的真卡,还是复制、伪造的假卡,不知道密码就都没法使用。

从这个意义上说,注意保护好自己的密码安全,才是最可靠的保障。

从已知的案例来看,目前窃取他人银行卡密码,基本就是几种方式:在别人用卡时伺机窥探、在ATM上偷偷安装针孔摄像机、在ATM的按键盘上再加装一个薄薄的伪造键盘、在POS机上安装记录密码的软件等。

 

图:一个粘帖在ATM键盘上,用于记录密码的假键盘

 

对此,似乎只能依靠提高防范意识来应对了。比如,无论是ATM机还是POS刷卡,输入密码时都确认周围有没有可疑的人在窥探,输入时都习惯性的用手遮挡键盘;在ATM上用卡时,先用手抠一下键盘边缘,看是否有可疑的凸起?

四、那公交卡呢?

当然,除了银行卡,生活中还少不了其他的卡,比如饭卡、公交卡、地铁票、单元门的门禁卡等等。一些城市还开设了公交卡的小额支付功能,用公交卡也可以买单,但金额通常都限制在百元之内。

这些卡通常都是RFID射频卡,离读卡器一定距离内就能够交换信息,这样的好处是尽量降低系统的读卡时间——想想挤公交车时的盛况就能理解了,此刻的速度是最重要的。

然而,早期的RFID卡并不安全,一旦靠近读卡器,无论是真的还是假的,它都会兴奋的“自报家门”,把自己的卡号等信息告诉读卡器,这就很容易被不法分子利用。2013年,英国纽卡斯特大学的马丁·艾玛教授,就做过一个公开试验:用伪装成手机的读卡器,在地铁上逢人就蹭,结果成功的窃取了大量的公交卡(伦敦称为“牡蛎卡”)的卡号和有效期信息。有了这些信息,就已经可以在美国的亚马逊等网站在线购物,并不需要校验密码,所以后果相当吓人。

一些单元楼的门卡可以被复制,也是类似的原理。

 

图:一个小区的钥匙环式门卡

 

幸好,第二代的RFID卡通常也增加了双向鉴权的机制,对于较大额度的消费,需要对刷卡机的合法性进行比对;有些RFID卡还有独特的加密算法,伪造的难度陡然增高,让安全性提高不少。

五、用卡安全提示

回到开头的问题上,作者认为,通常状况下,

1. IC卡式的银行卡,安全性要超过磁条式的,磁条卡最好尽快更换。

2. 无论哪种卡,在使用时都必须保持足够的警惕,简而言之就是“卡不离人”,不要将卡交给服务生代为刷卡(没有密码那种);盯住收银员的动作,谨防其在你视线之外,用非法的刷卡器盗取其中信息;输入密码时,任何时候都需要用手遮挡。

3.此外,可以专用一张银行卡来进行日常消费,其中的余额保持在两三千左右,即便被盗损失也有限。而存有大额资金的银行卡,则尽量不要用来刷卡,以免信息外泄。

总而言之,提高银行卡的安全性,技术升级是一方面,更多的还得依靠用卡人自己的防范意识。毕竟,不是所有的盗刷案都能侦破,被盗资金都能追回,或者银行都能赔偿的,顾先生的好运未必就伴随着每一个人。

发表评论
流言证实方
顶置推荐
儿童失踪后,不足24小时不能报警?

儿童失踪后,不足24小时不能报警?

儿童失踪是近年来广受关注的事件,除了不法分子的猖獗恶劣,也有部分原因在于家长的处理不当,例如很多人认为孩子失踪后,不足24小时是不能报警的,这是真的吗?...
放在汽车后备箱的水喝了会致癌?

放在汽车后备箱的水喝了会致癌?

近日一则称:“千万不要喝留放在汽车里的瓶装水!瓶装水随车子在太阳下暴晒后,会使瓶中的有害物质释放,危害健康。这是因为,瓶装水所使用的聚酯瓶往往含有可能导致人体慢...