35歲的沈某,瞄準某支付公司存有漏洞的早期付費卡,利用黑客技術將其破解。從此,他隨身帶著讀卡器,用完. . .
IT時報記者 潘少穎
35歲的沈某,瞄準某支付公司存有漏洞的早期付費卡,利用黑客技術將其破解。從此,他隨身帶著讀卡器,用完的空卡只要“嘟”一下,就又被充滿。“有錢”的他,和妻子先后“刷卡”消費6萬多元,預付卡簡直成了“印鈔機”。結果,這對夫妻雙雙落網。
這是近日上海警方破獲的首例用技術手段破解預付卡加密芯片而進行非法充值的盜竊案,也揭示了目前第三方預付卡存在的安全漏洞。
預付卡存漏洞遭黑客破解
今年10月,上海警方接到某第三方支付公司報案稱,公司發行的一張面額1000元的預付費卡被連續不斷地在巴黎春天、太平洋百貨等30多家特約商戶處刷卡消費,短短一周已消費達數萬元,且損失金額還在持續增加中。
犯罪嫌疑人沈某本身是一個技術迷,經常在國外黑客論壇泡著,算是資深黑客迷。2012年,沈某所在的單位發了一張預付卡作為員工福利。就是這張預付卡,讓沈某突然想起看到過關于類似預付卡芯片存在漏洞的文章,里面很詳細地寫出了漏洞原因和如何破解。
出于好奇,沈某買了一個NFC閱讀器,并根據網上的黑客程序自己改寫了數據,過程非常簡單,把消費卡放到讀卡器上,“嘀”一聲,軟件自動改寫芯片內的數據,錢就“充”進去了。
嘗到了甜頭,沈某的膽子逐漸大了起來,從一開始刷十幾元、幾十元到后來一刷就是幾千元,終于落入法網。
記者輾轉聯系到了報案的這家第三方支付公司,該公司負責人告訴《IT時報》記者,就像沈某在被抓獲后所說的一樣,只要報案,一定就能抓到。“盡管是非法充值,但我們后臺對卡的每一筆交易都有記錄,包括時間、地點、交易額。實際上,在他進行第一筆非正當交易的時候,后臺就發現問題了,只不過因為數額較小,并沒有引起重視。”該負責人告訴記者。
沈某是利用了預付卡所存在的漏洞。對于該問題,上述第三方支付公司負責人承認,預付卡的確是存在漏洞的,并且也是可以被攻破的。“說實話,攻破的技術并不難,就像沈某一樣,正規渠道買個讀卡器,再改一下程序,對于搞程序的人來說,一般都能做到。”該負責人如是說,實際上,他們在此之前就發現了類似的問題。
提升預付卡安全性不容易
預防類似問題再發生的關鍵在于提升預付卡的安全等級。
“現在市面上常用的預付卡,一般分為3種,安全性最差的是掃條形碼的預付卡,接下去是磁條卡,目前市面上安全性最高的是芯片卡。但芯片卡也分兩種,一種是像交通卡一樣非接觸式的芯片卡,是存儲式的,另一種被稱之為CPU型的芯片卡,相當于銀行卡的等級,也是目前最高加密等級的卡。案子中的那種預付卡是存儲芯片卡,加密等級并非最高,所以遭到破解。”一位業內人士解釋說。
據沈某稱,發現破解之道后,他又去黃牛那里買過20多張這種預付卡,其中10張是可以破解的,另外10多張因為是CPU芯片卡無法入侵。
記者了解到,目前市面上還在通用的預付卡既包含條形碼式的預付卡,也有磁條卡和芯片卡,但具有CPU芯片卡規模較小。
“關鍵是卡片升級的成本很高,每次大規模升級都要花重金,一張條形碼的卡或者磁條卡要升級成芯片卡,成本至少翻10倍。一家中等規模以上的預付卡公司,發卡量一般在千萬張左右,換卡的成本可不是小數目。此外,還會帶來刷卡終端的匹配問題。”一業內人士表示。
難道預付卡公司為了省成本,就會讓“刷不完”卡大行其道嗎?上述報案的第三方支付公司負責人告訴記者,現在正逐漸讓安全等級低的卡慢慢退出市場。“以后這些安全等級低的預付卡用完了,可能在公司后臺會主動注銷,不能再充值,總之,這些卡在市場上的量越小越好。”該負責人說。
轉自 新浪科技
詳細內容,請登錄九思官方網站:http://jxiprlawyer.com
歡迎關注九思新浪微博:http://weibo.com/wanghaibo100
更多精彩內容,請關注九思OA官方微信
