超级会员免费看
自动取款机与信用卡的安全与欺诈问题剖析
自动取款机(ATM)的安全困境
在早期的ATM安全系统设计中,存在着诸多失误。一方面,在20世纪80年代初至中期设计ATM安全系统时,我们错误地将重点放在担心罪犯的聪明才智上,而忽略了银行系统的设计者、实施者和测试者可能存在的愚蠢行为。加密技术固然重要,但它只是整个庞大系统的一部分。由于人们过于关注加密技术的数学趣味性,而对培训、可用性、标准和审计等“枯燥”部分关注甚少,导致坏人往往无需破解加密技术就能破坏系统。而且,像ATM网络这样的大型系统有众多用户,难免会有一些在测试中难以发现的意外漏洞被偶然发现和利用。
另一方面,我们未能找出哪些攻击可能会被产业化并加以关注。20世纪90年代初,使用虚假终端收集卡和PIN数据的作案手法迅速增加。1988年美国首次出现相关报告,当时骗子制造了一台自动售货机,它可以接受任何卡和PIN,并出售一包香烟。1993年,两名歹徒在康涅狄格州的巴克兰山购物中心安装了一台假ATM。尽管后来他们因在纽约使用伪造卡且当地取款机有隐藏摄像机而被捕,但这种虚假终端攻击后来变得愈发复杂。到1999年,加拿大出现有组织犯罪参与的迹象,东欧制造的“读卡器”被安装在取款机上读取磁条信息并通过微型摄像机捕捉PIN。尽管银行试图从磁条卡转向智能卡来应对虚假终端攻击,但这种攻击已十分普遍,且难以消除。
ATM安全中的激励与不公现象
不同国家在ATM安全的责任认定上存在差异。在美国,银行需承担新技术带来的风险。在Judd诉花旗银行一案中,法官裁定花旗银行声称系统万无一失的说法在法律上是错误的,因为这给客户带来了无法承担的举证责任,最终客户拿回了钱。美国联邦储备委员会将此纳入“E条例”,要求银行退还所有有争议的交易,
订阅专栏 解锁全文
扫一扫
52
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
