昨天,布鲁克林联邦检察官透露,一个国际盗窃团伙已在历史上最大的 ATM 欺诈案中窃取了近 4500 万美元。这次盗窃需要一些黑客攻击和大量的组织协调,因此新闻媒体和警方称之为高科技和“复杂”。但实际上并非如此!之所以能够实现,是因为美国——是的,特别是美国——在交易安全方面远远落后于时代,依赖于 50 年前的技术。
他们是怎么做到的? 黑客首先侵入了一家在印度处理预付借记卡的公司(类似于礼品卡)的系统。他们提高了或取消了这些卡片的取款限额(通常只有几百美元),并记下了这些新的、非法卡片的身份信息。到目前为止,这次盗窃都是数字化的,是对修改和窃取信息而非实际金钱的盗窃。金钱部分则归功于几十年前的磁条技术。
窃贼显然有一个磁条读写器,与酒店用来在磁性房卡上打印代码的读写器相同。使用任何带有磁条的卡片——旧信用卡、酒店房卡——甚至是你的驾照(虽然你不应该用自己的),他们都将这些新数据印了上去。现在,这张旧信用卡已经激活,带有虚构的代码,会告诉 ATM 机它可以提取几乎无限金额的钱。
窃贼将这些新卡片寄往世界各地。数十名,可能数百名同伙,按照指示,在全球的 ATM 机上取款。在曼哈顿和另外二十几个国家,伪装成高级礼品卡的旧卡片提取了现金。现金被用来购买昂贵的物品——劳力士、汽车——用于洗钱。最棒的是什么?那些最初的黑客可以确切地知道他们发明的每一个代码提取了多少钱。没有一个同伙能够进行盗刷。
检察官将其比作电影《十一罗汉》,但实际上更像是《十三罗汉》,在电影中,窃贼们摧毁了赌场的安全系统,并操纵了赌场的每一场游戏,导致了一场疯狂的抢劫。
这怎么可能? 嗯,磁条卡是 IBM 于 1960 年发明的,并于 1970 年开始量产。
磁条卡的工作原理是通过改变微小铁基颗粒的磁性,有点像“毛茸茸的威利”。它们可以通过廉价的读写器擦除和重写,你可以在 大约 200 美元 的价格买到。通常,磁条预付卡会附带 PIN 码,但这根本不提供任何安全保障,因为创建卡片和 PIN 码的是窃贼本人,而这正是这次盗窃的发生方式。
几乎所有其他发达国家多年前就淘汰了磁条卡,许多国家的技术已经超越了好几代。在英国和欧洲大部分地区,“芯片和 PIN”卡,也称为 EMV(“Europay、MasterCard 和 Visa”),是主流;它是一张普通的塑料卡,但嵌入了一个微型计算机芯片,该芯片与普通的四位 PIN 码结合,作为身份验证。EMV 系统比磁条卡安全得多;当它引入法国时,该国信用卡欺诈减少了 80%。(顺便说一下,它是 1992 年引入的。20 年前的法国比现在的美国先进。)好处是:身份验证比读取简单的磁条要复杂得多;它包含了实际的加密协议,如 DES(数据加密标准)。
EMV 系统的最大漏洞是什么?它仍然有磁条。EMV 卡有磁条,以便它们可以在较慢、较落后的国家(如美国)使用,这些国家无法读取芯片。EMV 系统的唯一真正破解方式是传输磁条上的信息,而不是芯片。
日本目前的标准是索尼制造的 FeliCa——它是一种 RFID 芯片,因此是非接触式的,并受益于更先进的安全技术(索尼宣布下一代 FeliCa 标准将使用 AES,即高级加密标准)。
未来如何? 甚至不用说未来:现在,数字钱包在其他国家正在兴起。日本的 Osaifu-Keitai 将 FeliCa 嵌入了日本无线运营商 NTT DoCoMo 的手机中。(这就像你的 Verizon 手机里有你所有的 Visa 信息。)该系统使用 近场通信(NFC) 来触发交易。将手机在销售点设备上轻触一下,输入 PIN 码,您的钱就转账了。NFC 甚至不是新技术;现代 Android 手机和许多 Windows 手机现在都配备了它!
那么,为什么美国如此落后呢?基础设施是一个主要因素;像日本和英国这样的国家要小得多,因此更换所有旧的销售点设备和 ATM 机更容易。另一个问题是,美国银行并不真的在乎投资新基础设施,而美国政府在让银行做它们不愿意做的事情方面遇到了很多麻烦。
许多现代盗窃案都依赖于老派方法。所谓的天才黑客盗贼实际上并不是常态;世界上最成功的珠宝盗窃团伙“粉红豹”都是打劫抢劫的艺术家。而这种卡片欺诈确实需要黑客技术,但如果美国的交易系统不依赖于几十年前的身份验证系统,而该系统可以用你在亚马逊上买到的东西来破解,那么这种欺诈就不可能发生。
