掏出你的信用卡,翻到背面看看,卡片背面是否印着“PayPass”、“Blink”、作为无线数据通用标志的“一点三弧”标志或者其他一些令人不解的图标?克丽斯汀·佩吉特(Kristin Paget)指出,此类卡片的持有人很容易遭遇一种超级隐蔽的盗窃。正如她上周六在华盛顿特区的演讲台上所示,她可以读取卡上一切所需信息,以完成欺诈性的交易。这仅仅需要价值数百美元的设备,而且可以隔着你的钱包、手包或口袋完成,全然不露蛛丝马迹。
在Shmoocon黑客大会上,佩吉特的目标是不容置疑地证明一个黑客们早已知道,而支付卡行业长期轻描淡写或彻底否认的问题:拥有射频识别(RFID)功能的信用卡的数据很容易被窃取,这一过程成本低廉、无法探测,窃得的数据可用于欺诈性交易。使用在eBay上花50美元买来的Vivotech射频识别信用卡读卡器,佩吉特在台上无线读取了一位志愿者的信用卡,获取了卡号、到期日以及非接触卡用来验证交易合法性的一次性信用卡安全码(CVV)。一秒钟之后,她用一部300美元的卡片加磁工具将上述数据写入一张空白卡片,随后,通过加装在iPhone上的Square读卡器——任何人均可以此刷卡接受支付,她从刚刚伪造出来的那张假卡上向自己支付了15美元——这可是志愿者的钱。(不过,她又交给这位志愿者一张20美元的钞票,使这笔交易可以理解为拿15美元买一张钞票,而不是违法的欺诈行为。)
如果说有人还怀疑这一招的有效性的话,佩吉特一不小心把这位志愿者的信用卡卡号投影到了大屏幕上,下面坐着的数百位黑客和安全研究人员都可以作证。“你会把这张卡注销掉,是吗?”她有点不好意思地说。与许多人的印象不同,非接触型信用卡已颇为普及:根据智能卡协会的统计,目前流通的带射频识别功能的卡片约有1亿张。维萨将其技术称为payWave,万事达的同类技术叫PayPass,发现卡称之为Zip,美国运通的叫做ExpressPay. 根据Shmoocon参与者举手表决的结果,会堂中数百名听众里就有好几十人拥有非接触式卡片,而且其中有四分之一根本就不知道其信用卡还有这功能——直到佩吉特请他们掏出卡片,查看有无非接触卡的标志。
佩吉特是一位知名安全研究者,为咨询机构Recursion Ventures效力,直到去年5月的变性手术之前,她的名字是克里斯托弗·佩吉特(Christopher Paget)。佩吉特获取信用卡信息的方法很简单:使用自己的射频识别读卡器,模拟一个合法的的非接触式销售点终端(上图那个有条纹的设备)。佩吉特指出,真正进行此种犯罪时,案犯只需要将读卡器放在外套口袋中,然后蹭碰受害人,就可以隐蔽地扫描射频识别信号——布质裤子或皮质钱包之类挡不住信号。在演讲之前的一次展示中,尽管我的卡片放在钱包里,钱包又放在裤子后面口袋中,佩吉特连碰都没碰我一下,就成功读取了该卡的信息。
佩吉特指出,这一招数并不涉及任何系统中隐藏的漏洞,而是由更为基本的问题造成的——任何可在市面上买到的射频识别读卡器,都可以获取非接触卡上的信息,这与商店中使用的销售点刷卡设备一样方便。“无论有什么加密或其他安保措施,都没有用,”她指出,“读卡器都会吐出相关数据,就像销售点终端一样,这真是非常愚蠢。这是个简单得让人不好意思的招数,但着实有效。”
佩吉特展示的手段其实一点也不新鲜,信息安全行业从2006年起就知道,非接触式信用卡可能在其持有人全然不知的情况下被无线读取数据。可是,在现行版本的信用卡中,用户名、个人识别码(PIN)以及卡背上的三位安全码都并未包括在可无线读取的信息中,信用卡行业称,这意味着此种黑客手段并不现实。
行业组织智能卡联盟的执行总监兰迪·范德乎夫(Randy Vanderhoof)指出,尽管此前就有人研究攻击非接触卡的手段,但迄今尚未有人报告一起真实世界中发生的此类事件。“这种卡片已经诞生六年,拥有上亿用户,而我们尚未看到任何此种欺诈性交易的记载。我们认为其原因在于,罪犯通过这一手段牟利很是困难,”范德乎夫表示,“将这称为一种新威胁的说法绝对是错误的,佩吉特的展示也无法佐证之。”
事实上,非接触式卡片确实还比传统信用卡多了一项安保措施:除了16位数字编码和到期日之外,此种卡片每次刷卡都会提供一个一次性的安全码。这一安全码只能用于一次交易,使用的顺序也必须与其生成的情况相符。如果支付处理设备发现同一安全码被用于多次交易,甚至是多个安全码在多次交易中使用的顺序不对,该信用卡都将失效。因此,非接触式信用卡扫描器只能将盗来的安全码使用一次,而且如果该诈术的受害人在窃贼有机会盗刷之前,就自行使用该卡片,那该卡上的所有交易都会被阻止。
“事实上,消费者应当拥抱这种技术,因为它使消费者更加安全,”范德乎夫表示,“试图诋毁芯片技术在信用卡的应用,只会使现有技术的用户更易受到攻击。”
不过,佩吉特认为,需按顺序使用的一次性安全码只意味着欺诈者必须瞄准多个受害人,而不是反复折腾同一个受害人。比方说,骗子可以站在相当拥挤的列车车厢内,读取众多擦肩而过之人的信用卡数据,然后将其发给一位同伙,后者实时完成余下来的工作。“如此,不会有人发现自己的卡上有众多欺诈性交易,而是会有50个人的信用卡账单上各有一笔异常交易,或许他们根本都不会注意到,”她说,“信用卡行业说这不可能,但他们向您提供的信息不全,我必须登台展示以证明这一点,才能让他们承认该问题的真实性。”
那现在我们该如何解决这些问题呢?佩吉特建议说,或许最简单的方案是把信用卡放到微波炉里转转,把射频识别芯片烧掉。不过,这或许是个精细活儿,没有听起来那么容易。“微波炉里转3秒钟就能把芯片烧掉,”她说,“如果转5秒钟,整张卡就着火了。”
佩吉特的公司一直在研究一种更完善的解决之道:制造一种信用卡形状的防护设备,称为GuardBunny,把它放在钱包里,与各种支付卡摞在一起,就可以屏蔽任何潜在的射频识别技术欺诈。这种设备还只有雏形,也没有为商业化销售规划好蓝图,但佩吉特称,它屏蔽射频识别信号的效果,远胜过当下所有可以买到的射频识别屏蔽钱包。市面上可见的射频识别屏蔽器只不过使用一层铝片或钢片保护卡片或钱包,而Guardbunny的原理截然不同,它能用自己的芯片将读卡器的射频识别信号反弹,有效地阻塞无线信号。该技术意味着,就算是高功率的射频识别读卡器都很可能无法识别到附近的任何信用卡的信号。“无论你的读卡器有多大功率,它都会反弹回去。”佩吉特表示。更难得的是,Guardbunny探测到射频识别读卡器的信号后,可以发出尖利的警报音,其兔子标志的眼睛也会发光,以警告大家:附近可能有无线扒手。
佩吉特承认,对有些高明的攻击手段来说,哪怕是Guardbunny也可能被绕过。“你可以挫败此种防御机制,但那得自己制作独家读卡器,”她说,“对坏家伙们来说,这可比在eBay上花50美元难多了。”