“身在湖南長沙,工資卡卻在江西南昌被盜刷,而當時卡和身份證都在我自己身上”,剛工作兩年的小維遇到了莫大的難題。她工作的所有積蓄都放在工資卡中,手機短信提示工資卡餘額僅有幾十元,她賬戶被盜了。小維説自己不能理解為什麼銀行卡和身份證都在自己身上,錢還能被人取走。排除了無卡取現的情形,實際上,這正是典型的銀行卡被複製、盜用的惡劣事件。
磁條卡安全隱患大
為銀行做卡片設計的握奇數據公司支付與識別産品方案部經理齊同心説,複製磁條卡需要能夠讀寫磁條的設備。這已經不是什麼高難的技術,只要幾千塊錢,甚至更少的錢就可以買到這樣的設備。
在網絡上也有提供磁卡複製設備的鏈結。有的提供設備者甚至“服務週到”,還有包測試、卡複製成功後再付費等項目;其服務網絡也不僅限于中國大陸,同時覆蓋港澳臺等地區。
小維在賬戶被偷盜後起訴了銀行,但銀行則認為是小維自己不慎將密碼告訴他人,因此,拒絕她的要求。
中國人民大學財經學院副教授周虹説,“目前,被克隆的卡大都屬於借記卡。無論是國際上,還是國內,借記卡都通過密碼消費。只要借記卡能夠消費,那麼它就是持卡人授權的行為,這種情況下銀行默認密碼沒有被別人破譯。”
銀行卡被盜刷有兩種情況,一種是由於銀行卡被克隆,密碼被暴力破解而遭盜刷;另一種為用戶自己洩露相關信息所致。而“就銀行卡被克隆的情況來説,持卡人很難舉證證明自己沒有洩露密碼,所以銀行就能免責。”
正如我們了解到的,銀行卡的消費需要通過卡號加密碼的方式,周虹進一步解釋説,“磁條卡被克隆了,但密碼不是通過暴力破譯獲得,這時候的責任就很難劃清,持卡人可能就需要承擔責任。”
金融IC卡可防偽造
磁卡存在的風險早已被銀行卡組織所認識到並進行了改進。1996年,當時世界三大銀行卡片組織聯合製定了第一版的芯片卡技術標準。如今歐美普遍使用的銀行卡片為集成電路卡,又稱芯片卡或智慧卡。而據中國人民銀行科技司資料,我國2005年正式頒發了行業標準《中國金融集成電路(IC)卡規範》(簡稱PBOC 2.0),此標準成為我國銀行卡芯片化的基礎。那麼,芯片卡的安全性能到底如何呢?
據了解,中國銀聯在其編制PBOC 2.0 規範中制定了交易流程和命令,並制定了必要的防護措施。齊同心總結了它的兩個特徵。一是,金融IC卡在進行交易時,銀行的後臺服務器和金融IC卡內會使用更長的3DES算法生成密文來驗證交易合法與否。並且每次交易産生的密文都不相同,有效的防止假卡偽造的交易。二是,為了在脫機交易環境下(如網上付款等)驗證卡片的真偽,相應的還有SDA(靜態數據認證)和DDA(動態數據認證)技術。這兩項技術都是基於一種公鑰加密管理平臺,採用最優秀的公鑰方案之一——RSA算法來驗證卡片真偽。
一位中國工商銀行的內部工作人員介紹説,芯片卡是類似CPU一樣的東西,當刷卡的時候,無法使用類似磁卡的複製設備竊取卡片信息。
從技術上説,芯片卡安全性能可謂良好,其推廣的道路也正在逐步實施中。中國人民銀行科技司相關負責人説,據今年第三季度的最新統計結果,金融IC卡發行量已近7500萬張;在受理環境方面,目前POS機改造基本完成,ATM改造已完成79%。
這位負責人還表明,我國處在金融IC卡的推廣初期,由於受理終端尚未改造完成,為了保證持卡人能正常使用金融IC卡完成交易,各商業銀行發行的金融IC卡以複合卡為主,目前芯片卡還沒有全國普及。
卡和密碼防洩露
雖然卡片具有硬體和軟體的安全性,但保障銀行卡安全的不二法門依然不變——妥善保管卡號、密碼,並且設置不要過於簡單的密碼,以免被他人猜到。
“我國目前ATM機取現額度過大,開通兩萬元的額度確實是為了方便,但也方便了非法行為;當然,如果用卡的環境非常好,用卡的商戶更多,則取現額度可以降低,也有利於防範風險。”周虹認為,“銀行支付流程上需要改進。比如説,我國銀行卡使用出現問題,款項遭受損失,必須要到公安局或派出所報警,這錯失了挽救損失的時間。持卡人應該直接打電話給銀行,這等於申訴賬戶,及時鎖定或者延遲支付。”
此外,她建議我國商戶在刷卡時,加設身份確認這一環節,只要證實用卡人身份的證件,比如身份證、學生證、駕照就可以。這無疑可以大大阻礙非法盜刷的行為。(實習生 符毓萍)