符合新EMV(Europay、MasterCard、Visa)芯片卡标准的读卡销售终端能让不法分子无法窃取你的客户信用卡信息,是吗?
再好好想想。
www.emvskimmer.com网站,如果还没被关停的话,宣称出售“世界上最先进的EMV芯片数据收集器”。这可是个“大杀器”级别的设备。
卖家宣称:这东西支持销售终端,能存储5000张信用卡的信息。任安智(Ingenico)和惠尔丰(Verifone)出品的机器,以及加油站油 泵终端、售票终端、小型ATM机(尤其是Triton生产的那些)都是其狩猎对象。该设备的主要市场在拉丁美洲。原因是,作为EMV的早期采用者,拉丁美 洲如今依然重度依赖静态数据验证芯片,给了犯罪分子利用该设备收集到的数据复制新芯片卡的机会。
世界其他地区采用动态数据验证,终端收到的代码每次交易都不同。即使这样,犯罪分子还是可以得到数据的,但只能用这些数据制造磁条卡。所以,情况也不是特别严重。
但在拉丁美洲,不法分子就可以用复制的新芯片卡在随便一家商店里购物了。而银行都不会知晓卡片被盗,以及有人在非法使用的事实。
在其他地方,如果不法分子用收集来的数据复制磁条卡,并在使用芯片卡读卡器的商店用该磁条卡购物,一些银行会照常完成交易,另一些银行则会中断交易——因为他们知道这应该是由芯片卡进行的交易,某些银行就会将这种行为标记为潜在的风险。
如果你在纽约刷了卡,2小时后又在加州刷,那很明显这张卡被盗刷了。但美国目前在EMV迁移过程中已经落后了。这意味着不法分子可以在已经接受芯片卡的地方安装盗刷器,收集数据,复制磁条卡,然后到对街还没换完POS机的大型电商大刷特刷。
该盗刷器使用简便,且很难被商家发现。
这一技术可被用于任意销售终端设备。安装时间不超过10秒,一次安装,永久驻留。犯罪分子用点胶水贴到设备上,安装到机器中,然后就可以放心离开了。几天以后重回原地,插入一张特殊的卡,所有盗取记录就都拷贝到了卡上。回家连上电脑,导出信息,复制卡也就是分分钟的事。
该盗刷器非常贴合芯片卡槽,几乎是隐身的。
老式盗刷设备是安装在机器上的覆盖层。但这次这个就难发现得多了。商家只有用手电筒照着仔细检查卡槽,才有可能判断出有没有被装上盗刷器。显然商店经理们没空每天都对几十上百个销售终端检查一遍。
终端制造商们已经获悉关于此事的通告。但怎么处理还取决于他们的判断,有时候,这些企业反应很慢。
不过,倒是可以通过复制这一盗刷器的外形来解决问题,其原理和“占位符”类似,用不带数据盗取功能的“空盗刷器”占住终端卡槽,挡住不法分子插入真盗刷器的路线。
在制造商拿出终极解决方案之前,应该有人开始售卖空盗刷器,或者大家都迁移到动态芯片,那问题就不成为问题了。