35歲的沈某,瞄準(zhǔn)某支付公司存有漏洞的早期付費(fèi)卡,利用黑客技術(shù)將其破解。從此,他隨身帶著讀卡器,用完. . .
IT時(shí)報(bào)記者 潘少穎
35歲的沈某,瞄準(zhǔn)某支付公司存有漏洞的早期付費(fèi)卡,利用黑客技術(shù)將其破解。從此,他隨身帶著讀卡器,用完的空卡只要“嘟”一下,就又被充滿。“有錢(qián)”的他,和妻子先后“刷卡”消費(fèi)6萬(wàn)多元,預(yù)付卡簡(jiǎn)直成了“印鈔機(jī)”。結(jié)果,這對(duì)夫妻雙雙落網(wǎng)。
這是近日上海警方破獲的首例用技術(shù)手段破解預(yù)付卡加密芯片而進(jìn)行非法充值的盜竊案,也揭示了目前第三方預(yù)付卡存在的安全漏洞。
預(yù)付卡存漏洞遭黑客破解
今年10月,上海警方接到某第三方支付公司報(bào)案稱(chēng),公司發(fā)行的一張面額1000元的預(yù)付費(fèi)卡被連續(xù)不斷地在巴黎春天、太平洋百貨等30多家特約商戶處刷卡消費(fèi),短短一周已消費(fèi)達(dá)數(shù)萬(wàn)元,且損失金額還在持續(xù)增加中。
犯罪嫌疑人沈某本身是一個(gè)技術(shù)迷,經(jīng)常在國(guó)外黑客論壇泡著,算是資深黑客迷。2012年,沈某所在的單位發(fā)了一張預(yù)付卡作為員工福利。就是這張預(yù)付卡,讓沈某突然想起看到過(guò)關(guān)于類(lèi)似預(yù)付卡芯片存在漏洞的文章,里面很詳細(xì)地寫(xiě)出了漏洞原因和如何破解。
出于好奇,沈某買(mǎi)了一個(gè)NFC閱讀器,并根據(jù)網(wǎng)上的黑客程序自己改寫(xiě)了數(shù)據(jù),過(guò)程非常簡(jiǎn)單,把消費(fèi)卡放到讀卡器上,“嘀”一聲,軟件自動(dòng)改寫(xiě)芯片內(nèi)的數(shù)據(jù),錢(qián)就“充”進(jìn)去了。
嘗到了甜頭,沈某的膽子逐漸大了起來(lái),從一開(kāi)始刷十幾元、幾十元到后來(lái)一刷就是幾千元,終于落入法網(wǎng)。
記者輾轉(zhuǎn)聯(lián)系到了報(bào)案的這家第三方支付公司,該公司負(fù)責(zé)人告訴《IT時(shí)報(bào)》記者,就像沈某在被抓獲后所說(shuō)的一樣,只要報(bào)案,一定就能抓到。“盡管是非法充值,但我們后臺(tái)對(duì)卡的每一筆交易都有記錄,包括時(shí)間、地點(diǎn)、交易額。實(shí)際上,在他進(jìn)行第一筆非正當(dāng)交易的時(shí)候,后臺(tái)就發(fā)現(xiàn)問(wèn)題了,只不過(guò)因?yàn)閿?shù)額較小,并沒(méi)有引起重視。”該負(fù)責(zé)人告訴記者。
沈某是利用了預(yù)付卡所存在的漏洞。對(duì)于該問(wèn)題,上述第三方支付公司負(fù)責(zé)人承認(rèn),預(yù)付卡的確是存在漏洞的,并且也是可以被攻破的。“說(shuō)實(shí)話,攻破的技術(shù)并不難,就像沈某一樣,正規(guī)渠道買(mǎi)個(gè)讀卡器,再改一下程序,對(duì)于搞程序的人來(lái)說(shuō),一般都能做到。”該負(fù)責(zé)人如是說(shuō),實(shí)際上,他們?cè)诖酥熬桶l(fā)現(xiàn)了類(lèi)似的問(wèn)題。
提升預(yù)付卡安全性不容易
預(yù)防類(lèi)似問(wèn)題再發(fā)生的關(guān)鍵在于提升預(yù)付卡的安全等級(jí)。
“現(xiàn)在市面上常用的預(yù)付卡,一般分為3種,安全性最差的是掃條形碼的預(yù)付卡,接下去是磁條卡,目前市面上安全性最高的是芯片卡。但芯片卡也分兩種,一種是像交通卡一樣非接觸式的芯片卡,是存儲(chǔ)式的,另一種被稱(chēng)之為CPU型的芯片卡,相當(dāng)于銀行卡的等級(jí),也是目前最高加密等級(jí)的卡。案子中的那種預(yù)付卡是存儲(chǔ)芯片卡,加密等級(jí)并非最高,所以遭到破解。”一位業(yè)內(nèi)人士解釋說(shuō)。
據(jù)沈某稱(chēng),發(fā)現(xiàn)破解之道后,他又去黃牛那里買(mǎi)過(guò)20多張這種預(yù)付卡,其中10張是可以破解的,另外10多張因?yàn)槭荂PU芯片卡無(wú)法入侵。
記者了解到,目前市面上還在通用的預(yù)付卡既包含條形碼式的預(yù)付卡,也有磁條卡和芯片卡,但具有CPU芯片卡規(guī)模較小。
“關(guān)鍵是卡片升級(jí)的成本很高,每次大規(guī)模升級(jí)都要花重金,一張條形碼的卡或者磁條卡要升級(jí)成芯片卡,成本至少翻10倍。一家中等規(guī)模以上的預(yù)付卡公司,發(fā)卡量一般在千萬(wàn)張左右,換卡的成本可不是小數(shù)目。此外,還會(huì)帶來(lái)刷卡終端的匹配問(wèn)題。”一業(yè)內(nèi)人士表示。
難道預(yù)付卡公司為了省成本,就會(huì)讓“刷不完”卡大行其道嗎?上述報(bào)案的第三方支付公司負(fù)責(zé)人告訴記者,現(xiàn)在正逐漸讓安全等級(jí)低的卡慢慢退出市場(chǎng)。“以后這些安全等級(jí)低的預(yù)付卡用完了,可能在公司后臺(tái)會(huì)主動(dòng)注銷(xiāo),不能再充值,總之,這些卡在市場(chǎng)上的量越小越好。”該負(fù)責(zé)人說(shuō)。
轉(zhuǎn)自 新浪科技
詳細(xì)內(nèi)容,請(qǐng)登錄九思官方網(wǎng)站:http://wowentech.com
歡迎關(guān)注九思新浪微博:http://weibo.com/wanghaibo100
更多精彩內(nèi)容,請(qǐng)關(guān)注九思OA官方微信
