2013年年底,美国零售巨头塔吉特(Target)被黑客入侵,7000万的用户个人信息和4000万的信用卡数据被盗,涉及用户名、电话号码和信息卡信息等隐私数据。据估计塔吉特的损失当前已达1.48亿美元,并最终可能达到10亿美元。
塔吉特“丢钱又丢人”的事件让人们认识到,即便是最强大的安全系统也可能被黑客攻击。塔吉特的账户是一个模型,多层次的系统,它的防御超过了Visa和万事达已经严格的安全措施所要求的。但黑客还是入侵了,这立即引发了人们的强烈抗议,人们质疑为什么美国的信用卡交易不够安全,并呼吁使用不需要通过读卡器进行物理“刷卡”的非接触式信用卡。多亏了这种强烈的抗议,Visa、万事达和美国运通已经坚定了立场:零售商必须在2015年10月之前投资于能够使用智能卡的读卡器。对于那些不这样做的人,欺诈损失的责任将完全由他们来承担。
毕竟,智能卡(内含包含加密信息和安全处理能力的芯片,但仍需联系)自1983年以来已在发达国家广泛使用,极大地减少了盗窃行为。在美国,欺诈花费了这么长时间才达到这个程度,尽管2013年,欺诈给零售商和银行造成了超过120亿美元的损失,但与更新零售网点(POS)系统的成本和复杂性相比,欺诈显然要便宜得多。
然而,随着技术的进步,如今的标准是采用无线通信的非接触式智能卡,不需要在卡和读卡器之间进行物理“刷卡”,而是基于智能手机的近场通信(NFC)技术完成。然而,塔吉特公司被攻破很少提到的一个关键事实:卡牌本身并不是问题所在。
到底谁来背这个锅
实施目标攻击的歹徒在目标商店的POS终端上安装恶意软件,使用“内存抓取”工具抓取终端在交易期间暂时存储的数据。然而,该恶意软件通过一个公司目标网络服务器到达终端,黑客可以通过该服务器访问公司终端。一旦舒适地安置在终端上,它就在塔吉特公司的网络上建立了自己的控制服务器,将所有窃取的数据存储在塔吉特公司自己的数据存储库中,直到黑客抽出时间卸载这些数据。
据报道,塔吉特使用40多个反病毒工具来扫描遍历其网络的恶意软件,结果没有发现一个恶意软件,即使发现,也不认为它是恶意的。这款名为BlackPOS的软件可以在网络犯罪论坛上花2000美元左右购买到,它是专门为绕过防火墙和安装在销售点终端而设计。简而言之,当小偷从“后端”而不是前面的POS终端进入时,公司服务器而不是POS终端成为了入侵点。
所有的POS终端都会收集数据,不管它们是需要你刷卡还是把卡放在离读卡器几英寸的地方。因此问题就来了:是什么使非接触式信用卡比普通信用卡更安全?在信用卡盗窃问题上,非接触式信用卡会有很大的不同吗?在塔吉特的案例中,可能不会,但这肯定是对当前系统的一个重大改进,针对终端机本身的大多数类型的盗窃要频繁得多。让我们回顾下当前可行的磁条替代方案——智能卡、非接触式卡、近场通信,以及与上述三种不同的RFID。
不太聪明卡都有哪些?
在最常见的类型——无源射频识别系统中,读卡器发送一个微弱的信号,这个信号被卡上的环形天线捕捉,经过校正后,产生的微小功率用于响应读卡器的查询并进行个人识别。控制系统将身份码与数据库中的信息进行匹配,以便进行身份验证。在这方面,RFID和非接触式支付有两个基本共同点:它们使用无线技术来消除POS读取设备和被读取物品之间的物理连接,并包含一个IC和内存来存储数据。然而,除了少数例外,相似之处也就这些了。
无源RFID标签非常便宜,通常不到一毛钱,因此非常适合对任何可以放置或插入RFID标签的东西进行大规模跟踪。然而,有源射频识别标签包含一个电池,它们可以发送突发信息,但价格要贵得多,因此不太广泛使用。
RFID标签并不是很“智能”,而接触卡和非接触“智能”卡都具有显著的安全特征,包括安全的微处理器、内存和加密处理能力。
RFID标签可以从大约6英寸的距离读取。被动方式到650英尺以上,而出于安全考虑,非接触式卡片只能从大约2英寸远的地方读取。
一个RFID标签需要使用最少的组件,其中最大的是从阅读器捕捉微弱信号的环形天线。
RFID的优势已经应用到众多领域,甚至包括包含个人头像的护照。2005年,沃尔玛要求其前100名供应商在运往配送中心的货物箱子和托盘上贴上RFID标签,该计划后来扩展到所有供应商。他们表示,使用RFID标记的缺货商品现在可以更快的进行补货。许多其他公司也采取了同样的做法,今天,被动射频识别被广泛应用于许多行业。
简而言之,虽然RFID系统在跟踪类应用中无处不在,但除了少数情况外,它们缺乏智能和提供安全的有限能力使它们无法在交易处理中使用。
智能卡
如果RFID不聪明,那就制造出一个智能卡。这是第一张为交易处理设计的卡片,目的是为了克服“哑”磁条卡的安全限制。智能卡提供重要的安全特性,包括使用对称DES(数据加密标准)、3DES (triple DES)或RSA公钥加密,密钥长度可达1024位的活动加密身份验证。
智能卡采用嵌入式IC,包含内存和微处理器。该设备有八个暴露的金属垫,可提供直流电源访问,处理POS阅读器,时钟信号,地面和串行I/O。板载处理器通常是32位的RISC处理器,最高可达32兆赫,它负责执行指令,控制器管理进出卡和阅读器的数据流。此外,它也包含三种类型的存储器:ROM为永久指令存储,RAM用于临时存储,电可擦写的只读存储器E-PROM用于运行应用程序。
非接触式卡
非接触卡保留了前面提到的智能卡组件和安全特性,但前者的电子触点被类似于RFID中使用的射频部分所取代,并消除了与POS读卡器的物理接触。你无须在每笔交易中输入密码,但到了一定数额,读卡器会要求输入密码,以确保安全。
每笔交易的金额也是有限的。非接触式卡于1995年在韩国首次用于电子票务,许多美国人可能还记得埃克森美孚在20世纪90年代末推出的Speedpass系统,该系统至今仍在许多埃克森美孚加油站使用。此后,非接触式技术已被万事达、花旗银行、摩根大通、美国运通和许多其他组织所采用。