对大多数银行客户来说,ATM(自动取款机)是一个检查账户、取现金的安全场所。但渐渐地,对不警觉客户而言ATM正变成一个诈骗陷阱。例如今年2月在美国波士顿,3人因向美洲银行(Bank of America)和国民银行(Citizens Bank)所属的ATM里植入假冒的读卡器而被警方抓捕。在被逮捕前,他们累计获得的不义之财高达137 000美元。
据专家介绍,把假读卡器植入到ATM里以采集银行卡数据的诈骗手段被称为 “卡片浏览(skimming)”,这种诈骗手段在美国以及世界各地都在快速增长。据SecurityCurve咨询公司的创始人Diana Kelley称,对全球的银行和消费者而言,A……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
对大多数银行客户来说,ATM(自动取款机)是一个检查账户、取现金的安全场所。但渐渐地,对不警觉客户而言ATM正变成一个诈骗陷阱。例如今年2月在美国波士顿,3人因向美洲银行(Bank of America)和国民银行(Citizens Bank)所属的ATM里植入假冒的读卡器而被警方抓捕。在被逮捕前,他们累计获得的不义之财高达137 000美元。
据专家介绍,把假读卡器植入到ATM里以采集银行卡数据的诈骗手段被称为 “卡片浏览(skimming)”,这种诈骗手段在美国以及世界各地都在快速增长。据SecurityCurve咨询公司的创始人Diana Kelley称,对全球的银行和消费者而言,ATM卡片浏览每年导致的损失大约为10亿美元。
Javelin Strategy & Research是一家金融服务分析和咨询机构。该机构四月的一份报告显示,在美国,所有欺诈受害者中有10%的人曾在假冒的ATM上提取过现金,结果23%受害者成为了其他金融机构的客户。Javelin的研究分析师Robert Vamosi表示,在美国,近20%欺诈受害者的PIN(个人识别号)被盗。
先进的ATM卡片浏览设备
诈骗专家表示,虽然过去5年一直存在着卡片浏览问题,但现在这些设备已经变得更加精密和难以察觉了。仅在美国就有超过425000台ATM可以成为罪犯的目标,他们可以在不同地点的各种ATM上试试自己的运气。
FICO(Fair Issac Corp)是一家提供FICO信用评分以及欺诈检测产品和服务的公司,该公司的高级欺诈解决方案总监Michael Urban说,“从制造或者购买的角度来看,ATM卡片浏览设备都比过去更为先进,这也使得用户更难辨别这些设备。罪犯还使用了和ATM制造商相同的油漆和表面加工。”此外,他补充说,“现在许多罪犯通过蓝牙或GMS手机信号来传输所盗窃的数据,而不必回到ATM处去获得存储的数据”。
PG Silva咨询公司的首席咨询师Jerry Silva同意上述的观点,“罪犯是根据ATM的颜色来进行复制的。即使整个外观发生了变化,消费者也很难区分出来”。
SecurityCurve公司的Kelley表示,一款优质的卡片浏览器(skimmer)的价格大概在5000到8000美元之间。现在的许多卡片浏览器都有卡片读取器和重叠的键盘,这使得卡片数据和PIN都可以被获取。另外,罪犯也可以利用一个隐藏的摄影机来窥视消费者所输入的安全密码。咨询师们表示,不管罪犯将目标锁定在哪个地方,他们都更趋向于攻击最常见的ATM,但实际上所有类型的ATM都存在着风险。
银行和ATM的销售商正尝试各种方法来阻止卡片浏览,比如将商业广告放在ATM上显示以提醒消费者关于卡片浏览的事情、向键盘和读卡器添加倾斜角使得卡片浏览器更难安装,或者添加传感器以检查ATM机是否装有其他设备并向银行员工发送警报。另外,还有在物理上起作用的“振动(jitter)”技术,它能使卡片在进入读卡器时发生抖动,从而使得卡片浏览设备更加难以读取卡片的信息。但是,一些专家表示振动技术并不是一个全方位的防护措施。
ATM卡片浏览保护
除了反卡片浏览技术外,金融机构还可以采取以下措施来保护ATM以及客户免受来自卡片浏览器的攻击:
1. 每天对ATM进行一次物理检查。Silva说:“最佳的实践是,每当ATM周围挤满了人,就进行一次物理检查”。如果卡片浏览器已经安装在你或者你竞争对手的ATM上,采取这一措施就显得尤为重要了。FICO的Urban说:“你需要增加检查次数,并派人每天外出对ATM检查几次,包括下班后和周末。罪犯会考察每一个他们即将下手的地点,如果他们发现这个地点加强了检查,便可能会另选其他的目标。虽然这是一个技术含量比较低的解决方案,但它往往行之有效。”
2. 加强ATM外观的标准。Urban说:“ATM视觉标准的采纳将会使所有ATM看起来都应该是一样的。”他同时指出,分行的经理可以在这类ATM里面加入一些东西,但其他的ATM则没有加入,这样它们看起来显得略为有些不同。他说:“一间分行决定在ATM上设置一个型录架(brochure holder),另一个分公司则没有安装这样的设置,这将使得ATM的外表五花八门。你希望它们的标准尽量趋向一致,这样你就可以判断ATM是否装有卡片浏览器了。”
3. 确保PIN输入设备符合支付卡产业安全标准委员会(Payment Card Industry Security Standards Council,PCI SSC)的标准,该委员会管理着PCI数据安全标准。PCI SSC还有针对商家的指导方针:《卡片浏览预防:商家的最佳做法》,其中包含了可以帮助商家精确地找到漏洞的自我评价表格。
4. 查找客户账户的异常活动。Urban说:“虽然欺诈检测软件不是万无一失的,但它可以检测出与欺诈交易相关的一些行为。”例如,一个客户总是在本地使用自己的借记卡或信用卡,突然间在巴西做出一次大规模的采购,这时该软件就可以向银行发起提醒,这可能会延迟交易,直到其合法性得到验证为止。Urban表示,客户最新的联系信息在迅速核实交易的合法性或停止欺诈行为方面至关重要。银行账户监控也需要经常更新自己的客户数据。
5. 与其他银行的安全人员建立工作关系。Urban表示,电子安全工作组的深入参与、甚至与本地其他的银行临时合作,都可以在卡片浏览器窃取各自的ATM数据时,帮助银行安全管理人员。
Chip和PIN银行卡
卡片浏览问题的最终解决可能要借助于智能卡技术(Chip和PIN)。该芯片携带数据但没有磁条,可在世界范围内广泛使用。欧洲各国正在过渡到Europay、MasterCard和Visa (EMV)智能卡规范,该规范需要一个微型芯片和磁条来完成交易。当EMV成为欧洲的标准时,一张只带芯片数据的克隆(cloned)卡将被拒绝,这将于2011年开始实施。根据Visa Europe的调查数据,欧洲的4000多家银行和支付服务供应商已经开始发行2.5亿张符合Visa EMV标准的Chip和PIN银行卡,并将同时对数百万台读卡器进行升级。
然而,美国在近期内并不会紧跟欧洲的脚步。
Silva表示,“ATM欺诈的损失还没有大到让美国银行重新发行银行卡和重新部署取款机的地步。因为银行必须对每台ATM更换读卡器、更换每个POS设备和软件,以及所有的银行卡,同时还要对消费者进行培训。总之,与欧洲不一样的是,诈骗的损失还没有大到让美国银行去做此类调整。”
作者
翻译
相关推荐
-
安徽农信的数字化转型之路
在2017合肥网络安全大会上,安徽省农村信用联合社信息技术总经理王开胜介绍了安徽农信社利用金融科技,进行数字化转型的成功实践。
-
如何改善银行安全性?
金融电信协会(SWIFT)承认之前的一些攻击威胁具有“持久性、适应性和复杂性,且会停留很久”,那么,究竟是什么在攻击SWIFT网络,他们应采取哪些应对措施呢?
-
金融信息化,应用安全时不我待
不同于互联网企业,金融行业关系到整个国家的经济命脉,一旦金融系统的核心业务出了问题,与一个互联网金融客户的核心系统出问题的严重程度完全不在一个层面。从应用出发看安全,将是未来很长一段时间内的大势所趋……
-
可穿戴移动支付近了!金雅拓支付应用软件为中国银联提供支持
金雅拓提供基于安全载体的支付应用软件,用于中国银联推出的智能可穿戴设备上的支付产品。中国银联是世界上主要的的支付机构之一,其2015年第一季度的总交易额达1.9万亿美元 。