你的芯片卡安全吗？这可能主要取决于你的银行账户

知名安全网站 KrebsOnSecurity近日发文称，以芯片为基础的信用卡和借记卡的设计，是为了让盗刷设备或恶意软件无法在你通过蘸取芯片而非刷卡条付款时克隆你的卡。但最近一系列针对美国商户的恶意软件攻击表明，盗贼正在利用某些金融机构实施该技术的弱点，绕过关键的芯片卡安全功能，有效地制造可用的伪卡。

传统的支付卡将持卡人的账户数据以纯文本形式编码在磁条上，磁条可以被窃取设备或偷偷安装在支付终端上的恶意软件读取和记录。然后，这些数据可以被编码到任何其他带有磁条的东西上，并用于进行欺诈性交易。

较新的基于芯片的卡采用了一种被称为EMV的技术，对存储在芯片中的账户数据进行加密。该技术导致每次芯片卡与芯片功能的支付终端交互时，都会产生一个独特的加密密钥--称为令牌或 "cryptogram"。

实际上，所有基于芯片的卡片仍然有很多相同的数据，这些数据存储在卡片背面的磁条上编码的芯片中。这主要是出于向后兼容性的考虑，因为许多商家--尤其是美国的商家--仍然没有完全实现芯片卡读卡器。这种双重功能还允许持卡人在卡的芯片或商家的EMV终端因某种原因发生故障时，可以刷磁条。

但EMV芯片与磁条上存储的持卡人数据有重要区别。其中之一是芯片中的一个被称为集成电路卡验证值或简称 "iCVV "的组件--也被称为 "动态CVV"。iCVV不同于存储在物理磁条上的卡验证值(CVV)，它可以防止从芯片中复制磁条数据，并利用这些数据制造伪造的磁条卡。iCVV和CVV值都与卡背面明显印制的三位数安全码无关，主要用于电子商务交易或通过电话进行卡片验证。

EMV方式的魅力在于，即使有盗刷者或恶意软件成功拦截到芯片卡浸泡时的交易信息，这些数据也只对这一次交易有效，应该不会让盗贼继续用它进行欺诈性支付。

然而，为了让EMV的安全保护措施发挥作用，发卡金融机构部署的后端系统应该检查当芯片卡浸入芯片读卡器时，只出示iCVV；反之，刷卡时只出示CVV。如果这些在某种程度上与某一交易类型不一致，金融机构就应该拒绝该交易。

问题是，并不是所有的金融机构都以这种方式正确地设置了他们的系统。不足为奇的是，盗贼多年来一直知道这个弱点。2017年，Brian Krebs 曾写过一篇关于 "闪烁器 "日益盛行的文章，这是一种为拦截芯片卡交易数据而制作的高科技银行卡盗刷装置。

最近，Cyber R&D实验室的研究人员发表了一篇论文，详细介绍了他们是如何测试欧洲和美国10家不同银行的11种芯片卡实现的，研究人员发现他们可以从其中的4种芯片卡中采集数据，并创建克隆的磁条卡，并成功地用于放置交易。

现在有强烈的迹象表明，Cyber R&D Labs详述的同样的方法正在被销售终端（POS）恶意软件用于捕获EMV交易数据，然后可以转售并用于制造基于芯片卡的磁条副本。

本月早些时候，全球最大的支付卡网络Visa发布了一份安全警报，内容涉及最近发生的一起商户泄密事件，已知的POS恶意软件系列显然被修改为针对EMV芯片的POS终端。

“安全接受技术的实施，如EMV®芯片，大大降低了威胁行为者对支付账户数据的可用性，因为可用数据仅包括个人账户号码（PAN），集成电路卡验证值（iCVV）和到期日期，”Visa写道。“因此，只要iCVV得到正确的验证，假冒欺诈的风险是最小的。此外，许多商户所在地采用了点对点加密(P2PE)，对PAN数据进行加密，进一步降低了以EMV芯片处理的支付账户的风险。”

Visa没有列出受影响商户的名字，但美国东北部的连锁超市Key Food Stores Co-Operative Inc.似乎也发生了类似的事情。Key Food最初在2020年3月披露了一起银行卡数据泄露事件，但两周前更新了咨询，澄清EMV交易数据也被截获。

“涉及的商店地点的POS设备是启用EMV的，”Key Food解释说。“对于这些地点的EMV交易，我们相信只有卡号和到期日会被恶意软件发现（但不会发现持卡人姓名或内部验证码）。”

虽然Key Food的声明在技术上可能是准确的，但它掩盖了一个现实，即在发卡银行没有正确实施EMV的情况下，被窃取的EMV数据仍然可以被欺诈者用来创建磁条版的EMV卡呈现在被入侵的商店收银机上。

此前欺诈情报公司Gemini Advisory发布了一篇博客文章，提供了更多关于最近的商户入侵事件的信息--包括Key Food，在这些事件中，EMV交易数据被窃取，并最终在迎合盗卡者的地下商店出售。

“这次数据泄露事件中被盗的支付卡在暗网中提供销售，”Gemini解释说。“在发现这个漏洞后不久，几家金融机构证实，这次漏洞中被泄露的卡都是按EMV处理的，并没有依靠磁条作为备用。”

Gemini表示，它已经核实最近的另一起数据泄露事件--在佐治亚州的一家酒类商店--也导致了被泄露的EMV交易数据出现在出售被盗卡数据的暗网商店中。正如Gemini和Visa所指出的那样，在这两种情况下，银行适当的iCVV验证应该会使这些被截获的EMV数据对骗子毫无用处。

Gemini认定，由于受影响的商店数量众多，参与这些数据泄露事件的盗贼使用物理安装的EMV卡闪光灯拦截EMV数据的可能性极小。

“鉴于这种策略极其不切实际，他们很可能使用不同的技术远程入侵POS系统，以收集足够的EMV数据来进行EMV旁路克隆，”该公司写道。

Gemini的研发总监Stas Alforov表示，没有进行这些检查的金融机构有可能失去注意到这些卡被用于欺诈的能力。这是因为许多发行了芯片卡的银行可能会认为，只要这些卡用于芯片交易，就几乎不存在这些卡被克隆并在地下出售的风险。因此，当这些机构在欺诈交易中寻找模式，以确定哪些商户可能会被POS恶意软件入侵时，他们可能会完全不考虑任何基于芯片的支付，而只关注那些客户刷过卡的商户。

“卡网络正在抓住现在有更多基于EMV的数据泄露事件发生这一事实，”Alforov说。“像大通或美国银行这样的大型发卡机构确实在检查[iCVV和CVV之间的不匹配]，并将撤回不匹配的交易。但一些小机构的情况显然不是这样。”

芯片卡也不安全！人在南宁，卡在身边，钱却在国外被取走！

近日，南宁市民代女士被两条取款短信吓到了！她人在南宁，卡在身边，钱却在柬埔寨被取走！近年来，银行卡遭异地盗刷、境外盗刷的案件屡见报端。你的银行卡还安全吗？如何防范盗刷？发现卡被盗刷该怎么做？

1

银行卡被境外盗刷近6000元

近日，代女士向南国早报记者讲述了事情经过。

8月13日早上，刚睡醒的代女士被银行发来的两条取款提醒短信吓了一跳。这两笔取款金额分别为3376.23元和2440.24元，手续费各为45.76元和36.40元。 随后，代女士去建政派出所报警，并到银行卡的开户行打印历史明细清单。

代女士收到的两条取款短信。

从银行打印的明细清单可以看到，这两笔钱都是8月12日在境外的ATM机上被取走的，两笔取款手续费均包含了跨境费12元，取款地区的代码为“4600”。

银行工作人员提供了这两笔钱的取款网点号、柜员号、终端号、服务界面以及交易场所简称。经查询了解，这两笔钱是在柬埔寨金边地区被取走。

对此，代女士表示——

“

从未去过这个国家，银行卡一直不离身；以前是磁条卡，后来根据银行要求换成了芯片卡； 个人微信和支付宝绑定了这张银行卡，但平时消费支付时，用的是支付密码，而不是这张卡的取款密码；日常在实体店消费一般都是刷信用卡，很少直接用这张银行卡来支付。

”

8月17日下午，应银行方面要求，代女士到银行提供事发时未在事发地的证明。代女士的护照显示，事发时她本人并不在柬埔寨。

银行卡一直随身携带，为什么会在境外被人取款呢？ 记者向涉事银行了解情况，8月18日下午，该银行广西分行回复记者称——

“

该起盗刷交易使用的是伪卡可能性极大。在客户可证明自身无过错的情况下，银行可以按照有关小额赔付的基本原则进行先行赔付， 待公安机关对案件处理结果明朗后再进行追偿。

”

2

银行卡被盗刷，问题出在哪？

银行卡被盗刷，问题出在哪里？银行方面答复称——

“

出现盗刷的情况主要有两种：一方面是客户持有的磁条卡未及时升级更换为芯片卡；另一方面是客户在用卡过程中对卡片保管不善或交由他人使用等，产生盗刷风险。

”

但在这次事件中，代女士的银行卡已经更换为芯片卡，而且也无证据证明她泄露了账户或密码信息。

8月19日下午，有着多年审判电信网络诈骗案件经验的宾阳县人民法院刑庭副庭长张强说，从作案的主要手段来看，银行卡被盗刷情况主要有以下几类：

一是因为银行过错导致持卡人信息（银行卡号、密码等）被违法行为人或犯罪嫌疑人截获 ，例如在ATM机周围安装摄像头等设备盗取信息、在ATM机上安装吞卡装置，从而盗取真卡内资金；

二是银行卡信息包括密码泄露，被犯罪分子复制后直接刷卡；

三是用户手机中了木马病毒后银行卡号被盗 ，犯罪分子利用手机号+卡号在网上商城购物盗刷，到填密码时点击忘掉密码，同时拦截验证码，最终实现盗刷。

3

根据现有证据应由银行担责

南国法援律师赵明堂说，储户在银行设立账户，将自己的资金存入在银行开设的账号中，与银行之间就建立了储蓄存款合同关系。存款的安全保管责任应该由储户和银行共同来承担。账号在运行过程中出现损失后应该由谁承担责任，要根据现有的证据证明，谁在账户运行过程中存有过失。

如果是由于储户自己对账号信息和密码保管不善造成的，那么损失由储户承担；如果是由于银行在设立账号时存在安全隐患，或者是银行在银行卡使用过程中疏于监管，则该损失由银行承担。

根据现有证据 ，代女士的银行卡在自己身边妥善保管，没有丢失，也没有证据证明她泄露了账号和密码，基本可以认定代女士的银行卡已被他人伪造。该损失是由银行在账号设立方面和防止伪造方面存在漏洞造成的。 所以，这起银行卡被盗刷的责任应该由银行来承担。

赵律师提醒，当储户发现银行卡被盗刷后，除了及时报警，还需要第一时间证明卡在自己身边，比如在最短时间内到就近网点取一笔款 ，以证明卡片保管没有出现问题。

4

防范盗刷要记住以下建议

为更好地防范银行卡被盗刷，有关方面给出了建议。

上述涉事银行表示——

①一般情况下，境外盗刷风险高于境内交易，因此建议客户主动关闭境外交易功能，待需要时再开通；

②在使用银行卡过程中，应注意使用环境的安全，尽量选择正规商场和门店 ；

③使用银行卡时观察是否有窃取装置，输入密码用手遮挡 ，以避免或减少银行卡信息泄露风险；

④每隔一段时间修改银行卡密码 ；

⑤尽量开通短信提醒功能 ，以便及时掌握银行卡的资金变动情况；

⑥当遭遇盗刷时，立即到辖区公安机关报案，并到最近的网点办理业务，留好相关业务凭条。

宾阳县人民法院刑庭副庭长张强说，广大持卡人在日常消费中应提高安全防范意识，谨慎保管个人银行卡和密码。可以采取以下措施加以预防——

相关问答

都说现在的芯片银行卡很难复制，为什么芯片银行卡有被盗刷的现象?

芯片卡确实很难复制与很容易被复制的磁条卡不同,芯片卡是带有IC芯片的银行卡(所以也叫IC芯片卡),这个芯片有点像微型计算机,当它被读取时,会参与计算校验...而...

现在的芯片银行卡被盗刷的几率有多大?

芯片卡有1000以前的免秘支付,装在钱包里极有可能被一些人盯上用手刷pos机盗刷。所以还是尽量不要带卡,用支付宝就可以了芯片卡有1000以前的免秘支付,装在钱包...

银行芯片卡能被复制吗小心芯片卡被盗刷?

有可能银行芯片卡完全有可能被复制的。只要有相应的设备,芯片银行卡完全可以被复制。所以一定要注意用卡的安全和保存好你的银行卡。首先现代科技非常发达...

芯片借记卡真的无懈可击?盗刷可能性多大?

大家好!这个问题确实值得我们高度关注和探讨!按照央行关于进一步防范银行卡风险的要求和部署,从2015年开始,大多数银行停止了磁条卡的发行,对新开户全部采...

磁条卡和芯片卡的区别是什么?-其他理财知识问答-我爱卡

[回答]磁条卡和芯片卡的有如下的几种区别:介质不同、安全系数不同、工作原理不同。一、第一种区别是介质不同芯片卡就是金融IC卡,它是以芯片作为介质的银...

芯片银行卡安全吗?|芯片银行卡_融360

[最佳回答]芯片银行卡安全,传统银行卡的磁条技术相对简单,磁条信息易被复制,通过使用磁条信息盗录装置复制银行卡磁条信息,再通过针孔摄像机在自助机终端上偷...

芯片卡和磁条贷记卡的区别是什么?-其他问题知识问答-我爱卡

[回答]芯片卡和磁条贷记卡的区别如下:1、介质是不一样的,芯片卡为以芯片作为介质的银行卡;磁条贷记卡利用磁性载体记录英文以及数字信息,用于标识身份或者...

银行卡被不法网站盗刷,以后这张卡还敢在用吗-汇财吧专业问...

[回答](一)如何避免银行卡盗刷?1.推荐使用芯片卡现在各大银行均在推行使用芯片卡银行卡的芯片安全系数要高于其他芯片,芯片卡的信息是动态的,芯片就是一台...

最近网上出现用POS机可以盗刷ETC卡，是真的吗?

下面中国银联回应称,如果ETC上插的是银联卡,要关闭“小额免密”功能。也有支付行业人士回应,盗刷需具备多项条件,没必要恐慌。有“闪付”标识银联芯片...

银行人员建议我去换芯片卡，但是我一直没来得及换，会不会...

[回答]1、尽量不要在网上随便输入自己的卡号和个人信息,办理信用卡也最好到银行去直接办理,不要在外面办理,以免泄露个人信息和信用卡的信息。2、在办理信...