储蓄卡也会过期！过期还能用吗？可不可以保号换卡？

“你扫我，还是我扫你？”如今，越来越多人都已习惯手机扫码支付，各种银行卡便被束之高阁。然而，一个鲜为人知的事实是，借记卡（即储蓄卡）同样具有有效期。红星新闻记者近日了解到，当借记卡过期后，持卡人在办理某些业务时就可能遇到障碍。尽管手机支付日益普及，但借记卡作为金融交易的重要工具，其有效期的管理依然不容忽视。

保费扣款失败 原来是卡片过期了

今年7月，涂先生突然收到一家人寿保险公司发来的提示短信，提醒约定扣缴续期保费的银行账户扣款失败，请他及时续缴保费。涂先生第一反应是“诈骗短信”，为确保安全，他拨打了这家保险公司的官方客服电话，对方确认扣款失败。

涂先生非常纳闷，自己银行账户中的余额足够，怎么会扣款失败呢？他再次查了账户余额，的确足够缴纳续期保费。为此，他带上身份证、银行卡来到开户银行找原因。银行网点工作人员查询后告诉他，他的银行卡已过期，导致了扣款失败，需更换新卡。在成功换卡后，续缴的保费被顺利扣款。

有效期多为10年 逾期使用会受影响

很多人都知道信用卡设置了有效期，但未必知晓储蓄卡通常也设了有效期。近日，红星新闻记者以客户身份向工、农、中、建、交五大国有银行咨询，得知储蓄卡的有效期多为10年。

据了解，目前市面上的储蓄卡以芯片卡为主，还有部分磁条卡（包括少量磁条芯片卡）。工行客服人员表示，如果是磁条卡，没有有效期，只要卡片未损坏就可一直用，芯片卡有效期为10年。如果卡片快到期了，持卡人希望保留原有卡号，可通过手机银行或直接前往网点办理预约换卡。工行客服人员称，换卡工本费至少5元，具体标准以网点实际执行为准。

中行、建行、交行等几家银行客服人员都证实储蓄卡的有效期通常为10年。农行多名客服都向红星新闻记者表示，该行储蓄卡是否设置有效期，要以客户持有的银行卡为准，无法明确某一类卡都有，“如果上面标明了就有，如果没有标注就没有”。比如记者持有的储蓄卡，正面下方有凸出的数字“02/29”，意味着这张卡片的有效期至2029年2月。

对于保号换卡和相关费用，各家银行略有差异。走访中，红星新闻记者了解到，除工行外，中行、建行、农行都可以通过手机银行或线下网点预约保号换卡，但农行要求银行卡号前六位为622821、622841、622843、623052、622845、622846、622848、622849才满足条件，交行则需要在线下网点申请办理。客服人员表示，换卡时，中行和农行需要收取10元费用，建行和交行目前则是免费。

如果银行卡已过期，在使用中会带来什么影响呢？工行、中行、交行客服均表示，各类转账、代扣代缴等线上交易不受影响，但是涉及到线下使用，比如在POS机上刷卡，或者是在ATM取款、转账等，就会受限。建行客户经理表示，如果客户卡片逾期了，部分线上交易也会受影响，如缴纳保险费、偿还他行信用卡等，上文提及的涂先生就是这类情况，同时线下的POS刷卡、ATM取款转账等需要使用到实体卡片的交易也会受限。

红星新闻记者 杨斌

（下载红星新闻，报料有奖！）

一篇读懂“你的芯片银行卡是如何被复制的”

前言

　　从银行卡面世以来，全球针对银行卡的攻击都从未停止过。据统计，全球各国每年的银行坏帐总数高达几十亿美元，为何银行卡的安全为何屡遭挑战？大众应该如何保障银行卡的安全？未知攻？焉知防！本期将对EMV芯片卡、PBOC芯片卡的4种攻击方法以及每种方法针对的安全问题进行详细分析，并提供有效的防范方法。

EMV芯片卡面临的安全威胁

什么是EMV？什么是PBOC？

EMV是全球银行芯片卡使用标准 ，中国银联的标准是PBOC ，EMV命名来源于于Europay（欧陆卡，已被万事达收购）、MasterCard (万事达卡) 与VISA（维萨）三大国际组织英文名称的字首所组成。EMV芯片卡的出现是为了解决一直困扰银行业多年的银行磁条卡被复制、克隆盗刷问题。

传统的磁条卡很容易被复制、克隆，然后进行正常消费盗刷，因为它内部的数据是静态的。而EMV卡在每次进行交易的时候，都会动态的创造一个独特的交易码 (见下方图1中紫色部分)，但是经过分析，发现其实是将磁条卡的二轨信息，加密后进行动态储存，外围包裹着的动态校验，有效的保护了里面的二轨信息的安全（见下方图1中紫色部分的黄色框住部分），按理说EMV芯片卡动态校验技术可以大大减少银行卡被盗刷的情况。

通过软件读取到EMV芯片卡内的信息结构

但美国已在2015.10.01在新卡发行时使用EMV全面替换磁条卡后，全球EMV芯片银行卡被盗刷的事例却并不没有减少。

那么，是否使用EMV卡之后，我们的银行卡内资金就是安全的了？

芯片卡的出现在一定程度上遏制了愈演愈烈的银行磁条卡复制事态，一时间让大量攻击者不知所措。银行也对芯片卡的表现很满意，是否就能从此高枕无忧了呢？然而好景不长，很快，安全研究人员开始关注EMV协议的漏洞并成功找到了利用方法。

经过分析，目前针对EMV芯片银行卡或PBOC芯片银行卡的有效攻击手法，现在经过验证的有贴卡中间人攻击、交易快照劫持攻击、认证中间人攻击、强制读取内核密钥四种攻击方法。

1、贴卡中间人攻击

贴卡中间人攻击出现的时间较早。这类攻击的主要特点为：攻击者需要取得用户原有EMV卡的芯片；攻击者无需知道用户PIN码即可完成取款操作。

经分析整理出这种攻击的思路为：黑客首先需要窃取合法用户的芯片卡A，之后提取出原芯片并与构造的恶意芯片卡B对接，芯片卡B在整个交易过程中充当中间人的角色，可与原芯片和POS互相实时传输信息，最终形成恶意贴片卡C。攻击者持有卡C在POS机交易的过程中，可绕过PIN码验证环节，即输入任意PIN码，均可实现正常交易。通过对整个交易流程的分析，得出攻击流程图如图2所示。

通过软件读取到EMV芯片卡内的信息结构

攻击者利用伪造卡，在POS机终端和原卡芯片中形成了中间人攻击，详细过程如图3所示。第一步：POS机首先向伪造卡请求持卡人信息，伪造卡转发请求至原卡并获得正确的EMV卡片信息，之后转发给POS机终端；第二步：攻击者在POS机上输入任意的PIN码，POS机向伪造卡发送PIN码，并请求对PIN码进行校验。伪造卡转发校验请求至原卡，原卡校验PIN虽然失败，但在伪造卡传输至POS机的过程中，校验信息被修改为始终为TRUE。最终绕过了脱机密码校验，使得攻击者输入任意PIN码，均可正常交易。

EMV芯片卡中间人攻击示意图

2、交易快照劫持攻击

虽然存在上述贴卡中间人攻击攻击方法，但因为利用条件极其苛刻，所以没有出现形成针对EMV银行芯片卡的规模化有效攻击。然而就在8月4号的2016US-BlackHat大会上，来自RAPID7的高级安全工程师Weston Hecker 通过一个小小的名为“La-Cara”装置，针对EMV银行芯片卡进行攻击，在15分钟内让ATM机吐钞$20000-$50000。下图为 Weston Hecker和他的助手在大会上演示他的成果。

Weston Hecker与助手现场演示ATM吐钞

这种攻击特点为：整个攻击过程需要两部设备：实时性传输交易快照。

具体的攻击方式为：攻击者首先利用通过植入La-Cara模块收集数据，整个植入过程不需要打开机器，在外部即可植入；之后当用户利用此台设备进行交易时，La-Cara即可获取到用户的实时交易快照，之后通过信道传输快照后在另一台ATM上重现，进行实时攻击。

经过分析，攻击流程如图5所示。

EMV芯片卡ATM攻击流程

交易快照劫持攻击针对的安全弱点主要为交易过程中交易快照可被捕获，并且没有抗重放攻击机制（此种方式可操作行并不强，因此没有形成规模化攻击）。

3、认证中间人攻击

同样在这一天的黑帽大会上，两位NCR的研究人员Nir Valtman和PatrickWatson向大家展示了另一种攻击EMV卡的方法。他们用被动和主动的中间人攻击来代替密码键盘设备密钥库和文件。为了获取用户的PIN码（身份验证码），攻击者在交易流程中劫持屏幕信息，要求用户输入PIN码的界面，如图6所示，从而捕捉明文形式的PIN码。

屏幕注入后界面

认证中间人攻击攻击特点为：不需要盗取原用户的芯片；需要用户输入正确的PIN码。攻击的详细流程如图7图8所示。

用户正常交易时序图

实施中间人攻击后的时序图

经过对比，我们可以得出，当用户进行交易时，攻击者在支付程序与POI（Payment points ofInteraction）中充当了中间人的角色，获取EMV卡内信息，包括信用卡验证值CVV码，在近一步获取到用户的PIN码之后，最终完成交易。

针对弱点：认证中间人攻击的攻击思想与贴卡中间人攻击类似，都是针对整个交易过程中缺乏对交易对象的身分进行认证，从而获取关键的EVM信息以及PIN码，进行后续恶意行为，达到盗刷的目的（可通过改装POS机，在用户插芯片卡进行交易时进行窃取信息）。

4、强制读取内核密钥

在上面所述的第3种认证中间人攻击的基础上，黑客不仅获取EMV卡内信息、信用卡验证CVV码、甚至PIN密码等信息，然而，无论是EMV芯片银行卡还是PBOC芯片银行卡，它们的安全性所依赖的关键点是以下两种核心技术：

1、密钥

2、动态校验

而2019的黑客技术大会上，来自中国台湾地区Ecfevred从另一方向对EMV芯片卡进行了突破，不去理会EMV的加密算法，直接通过物理方式强制读取到底层内核密钥，并在EMV动态校验数10秒的时间内，成功获取到密钥，并与EMV芯片原卡进行动态校验同步，使获取到的数据保持与原芯片卡一致。

针对EMV芯片卡强制读取内核密钥及动态校验同步

此时，不再需要原卡，使用获取到的数据，即可制做出一张与原卡一致的芯片卡，但该方法需要获取到原芯片卡，因使用条件苛刻，也并没有形成规模化，在生活中的危害性并没有第3种方法高。

而如果不法份子使用第3种方法+第4种方法，即通过第3种方法改装POS机获取芯片卡内的信息，再通过第4种方法，制做出一张与原卡一致的芯片卡（克服第4种方法需要原卡的弊端），这无疑将会对全球银行业整体安全构成一种全新的挑战，不过幸运的是，无论是第3种或第4种方法，均需要一定的技术，并不是像以前的磁条卡那么简单，这应该能减少相关金融欺诈事件发生。

综上所述，EMV、PBOC芯片卡的出现虽然在一定程度上解决了磁条卡容易被复制的情况，但是随着新的攻击方法的出现，芯片卡也面临着新的挑战。在使用芯片卡的过程中也要看到芯片卡存在的安全隐患，安全问题万不可掉以轻心。安全之责，任重而道远！

相关问答

储蓄卡是什么卡?-其他理财知识问答-我爱卡

[回答]储蓄卡是银行为给客户提供金融服务而发行的一种金融交易卡,属于借记卡。有磁条与芯片两种类型。主要作用是可以在联网ATM机和银行柜台存款、取款及...

储蓄卡有效期多久?-其他问题知识问答-我爱卡

[回答]纯磁条的储蓄卡一般是长期有效的,只要银行卡卡片没有损坏,就可以终身持有。带有芯片的银行储蓄卡,一般芯片是有有效期的,多数银行的芯片有效期为十...

芯片银行卡安全吗?|芯片银行卡_融360

[最佳回答]芯片银行卡安全,传统银行卡的磁条技术相对简单,磁条信息易被复制,通过使用磁条信息盗录装置复制银行卡磁条信息,再通过针孔摄像机在自助机终端上偷...

银行卡没有芯片是什么意思?可以简单介绍一下吗?-其他问题知...

[回答]没有芯片的银行卡其实就是以前发行的磁条卡,现在没有芯片的磁条卡还是能用的,卡片如果没有消磁、账户状态正常的话就还能继续用,但是安全性就没有芯...

什么是芯片银行卡?

你好,芯片银行卡是一类使用芯片技术的银行卡。与传统磁条银行卡相比,芯片银行卡采用更先进的技术,内置了加密芯片和安全模块,可以在交易过程中进行动态加密,...

银行卡芯片长什么样子?

银行卡磁卡是指银行卡背面有一条黑色的磁条卡。芯片卡是指银行卡正面可以看到有一块金属芯片的卡。银行磁条卡和芯片卡区别:1.芯片银行卡即是金融IC卡,它是以...

银行卡，分磁条卡和芯片卡，有什么区别-汇财吧专业问答

[回答]金融IC卡又称芯片银行卡是以芯片作为介质的银行卡,它带有一个芯片,能够存储加密数据,防止卡片数据被复制,具有更高的安全性,不易仿冒安全系数较高。...

芯片银行卡与磁条卡有什么区别那个更好呢-汇财吧专业问答

[回答]一、定义差异:1、芯片卡:又称ic卡,是指以芯片作为交易介质的卡。芯片卡不仅支持借贷记、电子现金、电子钱包、脱机支付、快速支付等多项金融应用,还...

上海银行储蓄卡是什么卡?-其他问题知识问答-我爱卡

[回答]上海银行储蓄卡是借记卡。上海储蓄卡是上海银行发行的一种金融交易卡,能够为客户提供相应的金融服务。上海银行储蓄卡分为磁条卡和芯片卡两种类型,...

芯片银行卡与磁条卡有什么区别?那个更好呢?

银行芯片卡比磁条卡更安全。区别:1、银行芯片卡卡有集成芯片,磁条卡没有集成芯片,使用磁性记录介质记录信息。2、银行芯片卡容量大,可以存储密钥、数字证...