2010-07-27 20:21:41 来源:TechTarget中国
对大多数银行客户来说,ATM(自动取款机)是一个检查账户、取现金的安全场所。但渐渐地,对不警觉客户而言ATM正变成一个诈骗陷阱。例如今年2月在美国波士顿,3人因向美洲银行(Bank of America)和国民银行(Citizens Bank)所属的ATM里植入假冒的读卡器而被警方抓捕。在被逮捕前,他们累计获得的不义之财高达137 000美元。
据专家介绍,把假读卡器植入到ATM里以采集银行卡数据的诈骗手段被称为 “卡片浏览(skimming)”,这种诈骗手段在美国以及世界各地都在快速增长。据SecurityCurve咨询公司的创始人Diana Kelley称,对全球的银行和消费者而言,ATM卡片浏览每年导致的损失大约为10亿美元。
Javelin Strategy & Research是一家金融服务分析和咨询机构。该机构四月的一份报告显示,在美国,所有欺诈受害者中有10%的人曾在假冒的ATM上提取过现金,结果23%受害者成为了其他金融机构的客户。Javelin的研究分析师Robert Vamosi表示,在美国,近20%欺诈受害者的PIN(个人识别号)被盗。
先进的ATM卡片浏览设备
诈骗专家表示,虽然过去5年一直存在着卡片浏览问题,但现在这些设备已经变得更加精密和难以察觉了。仅在美国就有超过425000台ATM可以成为罪犯的目标,他们可以在不同地点的各种ATM上试试自己的运气。
FICO(Fair Issac Corp)是一家提供FICO信用评分以及欺诈检测产品和服务的公司,该公司的高级欺诈解决方案总监Michael Urban说,“从制造或者购买的角度来看,ATM卡片浏览设备都比过去更为先进,这也使得用户更难辨别这些设备。罪犯还使用了和ATM制造商相同的油漆和表面加工。”此外,他补充说,“现在许多罪犯通过蓝牙或GMS手机信号来传输所盗窃的数据,而不必回到ATM处去获得存储的数据”。
PG Silva咨询公司的首席咨询师Jerry Silva同意上述的观点,“罪犯是根据ATM的颜色来进行复制的。即使整个外观发生了变化,消费者也很难区分出来”。
SecurityCurve公司的Kelley表示,一款优质的卡片浏览器(skimmer)的价格大概在5000到8000美元之间。现在的许多卡片浏览器都有卡片读取器和重叠的键盘,这使得卡片数据和PIN都可以被获取。另外,罪犯也可以利用一个隐藏的摄影机来窥视消费者所输入的安全密码。咨询师们表示,不管罪犯将目标锁定在哪个地方,他们都更趋向于攻击最常见的ATM,但实际上所有类型的ATM都存在着风险。
银行和ATM的销售商正尝试各种方法来阻止卡片浏览,比如将商业广告放在ATM上显示以提醒消费者关于卡片浏览的事情、向键盘和读卡器添加倾斜角使得卡片浏览器更难安装,或者添加传感器以检查ATM机是否装有其他设备并向银行员工发送警报。另外,还有在物理上起作用的“振动(jitter)”技术,它能使卡片在进入读卡器时发生抖动,从而使得卡片浏览设备更加难以读取卡片的信息。但是,一些专家表示振动技术并不是一个全方位的防护措施。
ATM卡片浏览保护
除了反卡片浏览技术外,金融机构还可以采取以下措施来保护ATM以及客户免受来自卡片浏览器的攻击:
1. 每天对ATM进行一次物理检查。Silva说:“最佳的实践是,每当ATM周围挤满了人,就进行一次物理检查”。如果卡片浏览器已经安装在你或者你竞争对手的ATM上,采取这一措施就显得尤为重要了。FICO的Urban说:“你需要增加检查次数,并派人每天外出对ATM检查几次,包括下班后和周末。罪犯会考察每一个他们即将下手的地点,如果他们发现这个地点加强了检查,便可能会另选其他的目标。虽然这是一个技术含量比较低的解决方案,但它往往行之有效。”
2. 加强ATM外观的标准。Urban说:“ATM视觉标准的采纳将会使所有ATM看起来都应该是一样的。”他同时指出,分行的经理可以在这类ATM里面加入一些东西,但其他的ATM则没有加入,这样它们看起来显得略为有些不同。他说:“一间分行决定在ATM上设置一个型录架(brochure holder),另一个分公司则没有安装这样的设置,这将使得ATM的外表五花八门。你希望它们的标准尽量趋向一致,这样你就可以判断ATM是否装有卡片浏览器了。”
3. 确保PIN输入设备符合支付卡产业安全标准委员会(Payment Card Industry Security Standards Council,PCI SSC)的标准,该委员会管理着PCI数据安全标准。PCI SSC还有针对商家的指导方针:《卡片浏览预防:商家的最佳做法》,其中包含了可以帮助商家精确地找到漏洞的自我评价表格。
4. 查找客户账户的异常活动。Urban说:“虽然欺诈检测软件不是万无一失的,但它可以检测出与欺诈交易相关的一些行为。”例如,一个客户总是在本地使用自己的借记卡或信用卡,突然间在巴西做出一次大规模的采购,这时该软件就可以向银行发起提醒,这可能会延迟交易,直到其合法性得到验证为止。Urban表示,客户最新的联系信息在迅速核实交易的合法性或停止欺诈行为方面至关重要。银行账户监控也需要经常更新自己的客户数据。
5. 与其他银行的安全人员建立工作关系。Urban表示,电子安全工作组的深入参与、甚至与本地其他的银行临时合作,都可以在卡片浏览器窃取各自的ATM数据时,帮助银行安全管理人员。
Chip和PIN银行卡
卡片浏览问题的最终解决可能要借助于智能卡技术(Chip和PIN)。该芯片携带数据但没有磁条,可在世界范围内广泛使用。欧洲各国正在过渡到Europay、MasterCard和Visa (EMV)智能卡规范,该规范需要一个微型芯片和磁条来完成交易。当EMV成为欧洲的标准时,一张只带芯片数据的克隆(cloned)卡将被拒绝,这将于2011年开始实施。根据Visa Europe的调查数据,欧洲的4000多家银行和支付服务供应商已经开始发行2.5亿张符合Visa EMV标准的Chip和PIN银行卡,并将同时对数百万台读卡器进行升级。
然而,美国在近期内并不会紧跟欧洲的脚步。
Silva表示,“ATM欺诈的损失还没有大到让美国银行重新发行银行卡和重新部署取款机的地步。因为银行必须对每台ATM更换读卡器、更换每个POS设备和软件,以及所有的银行卡,同时还要对消费者进行培训。总之,与欧洲不一样的是,诈骗的损失还没有大到让美国银行去做此类调整。”
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。