坐地铁信用卡也能被盗刷,这跟POS机有关系吗?

来源 : 智能pos网 作者 : 智百君 阅读量 : 发布时间 : 2016-02-22 16:25

日有媒体报道俄罗斯一小偷手持移动终端,在拥挤的地铁上趁乘客不备,扫描他们的背包和衣兜,企图转走他们身上非接触式信用卡里的钱。虽然一次只可以转走卡内30英镑(约合人民币280元),但听闻者还是惊呼:“太危险了!口袋里的钱也能无声无息地就被别人偷走?!”

这还得从非接触式信用卡的刷卡方式说起。

坐地铁信用卡也能被盗刷,这跟POS机有关系吗?

非接触式信用卡与普通磁条信用卡不同,用这种信用卡进行支付时,卡片本身不用接触支付终端。持卡人只需在距离支付终端几厘米的位置拿着卡,就可以像刷公交IC卡一样,瞬间完成支付交易,更为简单便捷。

从消费者的角度来看,非接触式真的很方便……但是对于窃贼,它们也同样方便好用。根据以往案例,在多起汽车、手包以及入室偷盗中,窃贼们倾向寻找那些非接触式信用卡,一旦找到,几小时内就能去商店消费。幸好使用非接触式信用卡的每次交易上限只有100元,万一中招,损失还不至于太吓人。

安全与便捷如何兼得

非接触式信用卡被盗刷,是卡本身存在技术缺陷吗?说是,也不是。主要还是小偷在作怪。但如果在识别身份上加多一个步骤,会不会更安全?可这样就失去了当初“便捷”的初衷了。看来安全与便捷如何兼得确实是一个永恒的难题。不过,小编想到了近日大火的Apple Pay……

在俄小偷盗刷信用卡的案例中,盗刷过程发生在信用卡和POS之间的通信通道。那么,Apple Pay在保证与POS机之间的通信安全上有没有起到示范作用呢?

我们不妨先了解一下ApplePay包含的几个关键组件,方便对下面工作原理的理解。

坐地铁信用卡也能被盗刷,这跟POS机有关系吗?

第一个是SecureElement,简称SE,就是我们常说的安全元件。SE是Apple Pay安全保障的核心,本质上来说,所有和Apple Pay相关的支付处理和安全保障都是由SE负责的,其他组件只是起到辅助作用。

第二个是NFC controller:NFC控制器,在Apple Pay的场景中,NFC控制器相当于一个路由器,它同三个不同外部实体连接:外部近场设备(例如上文所述小偷手持的终端POS)、应用处理器以及Secure Element,进而形成两个通信通道:应用处理器到Secure Element的通信通道,以及Secure Element到POS之间的通信通道。

第三个是Touch ID:也就是iPhone的指纹识别服务,其目的在于利用指纹识别使得访问设备更安全、更快速和更容易。Touch ID不是对设备安全密码的替换,而是让用户可以使用复杂的设备密码,同时不损失便利性。换句话说,用户可以使用复杂的密码来保护设备,同时还可以使用Touch ID来方便的访问设备。

接下来,Apple Pay需要有3个附加的保障机制来确保非接触式交易的安全。

首先,只有经过用户的授权(例如:通过了指纹识别或输入了设备密码),非接触式交易才可能发生,否则Apple Pay设备只要处于RF通信场中,就可能在用户无意识的情况下发生交易(如上文信用卡被盗刷)。其次,Apple Pay必须确保只有来自外部非接触式POS终端的支付请求才能被标识为非接触式交易,这主要受交易费率的影响。最后,非接触式支付的通信是不加密的,因此Apple Pay通过NFC控制器的卡模拟模式确保非接通信通道交互的数据无论如何不会暴露给应用处理器。

回到主题,信用卡被盗刷POS有无责任?

严格来说,传统意义上SecureElement和POS终端之间的通信是不需要保证安全的,因为两者必须靠近才能发生通信,实际上相当于认证了人和卡的存在。也即,当“卡”和“POS机”两者足够靠近时,通信就会产生。所以不管你是自己主动刷卡消费,还是卡被别人偷走而产生支付行为,在免输密码的情况下,都是“卡”和“POS”之间的关系,与消费者是谁无关。

如果要把卡被盗刷的责任算在POS机身上,那它也太冤了。除非一卡匹配一机,你这张卡只能在唯一一台POS上转账或消费,才能保证不被其他POS机刷走你的钱。但这显然太不现实了,也不符合常识。

坐地铁信用卡也能被盗刷,这跟POS机有关系吗?

但由于要提防上述不法分子的存在,所以我们必须在消费端加多一层保护,进一步确认用户身份和支付意愿,例如Apple Pay的指纹识别。

当然,未来也许会发展出具有生物识别功能的智能POS机,它能通过用户行为、外貌特征等特点确认用户是否有交易意愿,那时是何时?诸君大胆发挥想象……

发表评论

登录后参与评论

全部评论

点击加载更多