首页 > 安防专题, 银行卡 > 磁条/芯片双模卡仍存安全隐患

磁条/芯片双模卡仍存安全隐患

2012年5月30日

先天存在安全缺陷的金融磁条卡,其实早已有了安全的替代品——金融IC卡;但商家和消费者的习惯、新旧模式并存的混乱,延缓了IC卡的普及脚步。

更令人忧虑的是,为了兼容旧模式,现行的金融IC卡,其实是一种留有“后门”的过渡性产物——双模卡。

2011年,信用卡欺诈损失1.48亿元,较上年增长25.78%。在此背景下,更安全的IC卡“卡”在了过渡期,难以及时发挥应有的作用,不能不说是一种遗憾。

复制设备仅售8000元

《第一财经日报》上周连续报道了武汉王爱芬银行卡遭复制,被盗刷68万元一事,曝光了复制银行卡和冒名办卡的“行业”内幕。这一切,其实只要金融IC卡取代磁条卡,就完全可以避免。

“其实,磁条卡天生有‘缺陷’。”某银行信用卡中心陈经理向本报坦言,“只要客户在某被动过手脚的卡槽刷过卡,磁条信息就可能被复制,他人手上就可能出现一张‘双胞胎’卡。”

陈经理所供职的银行也曾遇到过多起本行所发银行卡被盗用的事件,被盗客户通常都会归咎于发卡行,认为自己的银行卡从未离身,发生盗用意味着管理漏洞导致数据泄露,发卡行难辞其咎。

“复制的伪磁条卡一般有三种:白卡、变造卡和侧录卡。”陈经理介绍,白卡是指从卡厂或某些机构流出的空白磁条卡,磁条上没有信息,犯罪分子可将非法取得的账号信息压印其上;变造卡是指过期、遗失或休眠的银行卡,被不法分子“刷”入新的账户资料;侧录卡是指利用电话卡、门卡等磁性材料卡改造而成的金融卡。

因大部分银行都有严格的“白卡”管理机制,因此要从银行获取白卡并不容易,但本报由一家在网上自称“融资担保公司”的银行卡非法代办商处获悉,从卡厂“进货”相当宽松,而且批发成本在每张卡几角到几元之间。

制卡行业通行的ISO7811-2标准规定,磁条卡上的磁条有三根磁道,第一根和第二根磁道分别存储76个字母或数字型字符和37个数字型字符,并在首次写入后呈“只读”状态;第三条磁道存储104个数字型字符,可反复“擦写”。

据上述不法代办商称,第一根磁道通常记录银行信息,第二根磁道记录卡号信息,第三根记录银行账户余额等信息。不过,即使是“只读”状态的磁道,也并非不能破解,只要在黑市上花8000元买一套“磁卡复制器”,就能轻松将卡号等信息“烧入”相应磁道,变造一张新卡,白卡就更不在话下了。

该不法代办商还说,用这种复制器,借记卡和信用卡都能复制,不过,如果卡片设有密码,则须通过其他手段获取。如在持卡人向POS机输入密码时偷看;或是在ATM机上安装微型摄像头偷拍。

而伪卡在使用时,通常也不易被识破。本报记者走访的多家商户均表示,收银员对磁条卡的识伪手段仍停留在初级水平,包括对比卡上凸印卡号与POS机打印卡号、核对卡号前六位所代表的发卡行与卡面标注发卡行信息、检查激光防伪标记等。

双模卡仍存“后门”

这种门槛较低的造假手段,对金融IC卡就无计可施了。IC卡采用集成电路芯片技术和特殊保密措施,其保存的信息难以破译,防伪性也很高。

事实上,监管层和银行机构已经花了不小的力气推行IC卡。

2010年,央行就已拟定推行银联标准IC卡目标。去年3月,央行发布《中国人民银行关于推进金融IC卡应用工作的意见》,决定在全国范围内正式启动银行卡芯片迁移工作,并要求银联直联POS机在去年6月前完成改造,可受理IC卡;全国性商业银行布放的间联POS、ATM机则要分别于2011年底、2012年底前完成相关改造;2013年起实现所有受理银行卡的联网通用终端都能受理IC卡。在发卡方面,要求全国性商业银行自2013年1月1日起发行IC卡;在经济发达地区和重点合作行业领域,自2015年1月1日起实现IC卡全流通,磁条卡退出。

“政策力度已经不小了。”上海银行同业公会相关人士对本报表示,该协会所辖商业银行的收单POS机,95%以上完成了芯片卡受理环境改造,此外,“五大行”和招行等也已开始发行芯片与磁条两种介质并存的双模卡。

然而,据本报多方了解到,金融IC卡的推行绝非一帆风顺,发卡行和收单行各有苦衷。

对发卡行来说,成本是个大问题。一张普通磁条卡成本为1.2元左右,而一张芯片—磁条双介质卡目前的成本则为18元,相当于磁条卡的15倍。5年前,后者的成本甚至高达30元。而以建行为例,普通客户办理IC卡开卡的工本费仅为5元。

“其实,令业内感到郁闷的主要还不是制卡的高成本,而是投入了高成本,到头来仅能有限发挥防范风险的作用。”上述同业公会相关人士表示,问题恐怕就出在双模卡上。

双模卡原本是一种过渡期的变通手段。在芯片卡受理环境改造期内,发卡行唯恐纯粹的IC卡在部分场合无法使用,于是发行了双模卡。谁料,由于消费者和商家习惯了磁条卡的旧模式,或者由于不了解IC卡的新模式,因此即使持有双模卡,或者装备了可受理IC卡的POS机,在实际刷卡时往往还是采用磁条模式。

本报记者以消费者名义询问多家商户:“是否可以刷IC卡?”对方往往一脸茫然。当记者出示一张金融IC卡时,对方回答则往往是:“我们用的还是过去那种‘划一下’的刷卡方式。”

结果,双模卡的IC模式使用比例偏低,而磁条模式依然不能杜绝信息盗取和伪造盗刷,成了一个安全上的“后门”,新旧模式的并行,导致旧模式“苟延残喘”,新模式“少人问津”,这恐怕是双模卡推出时谁也没有想到的情形。

为盗刷埋单:收卡行叫屈

既然双模卡仍不能杜绝盗刷,那么相应的责任应由谁承担呢?

根据业内的风险分担惯例,伪卡和信用卡套现等风险一般由收单行承担。因为布控终端和渠道、管理商户、最后通过第三方支付机构进行跨行清算等,是由收单行实际操作的。

但是,双模卡的情形有些特殊,收单行认为全由自己埋单“有点冤”。

本报获悉,银联曾下达内部通知,明确如双模卡发生盗刷,只要刷卡是通过磁条模式的,由收单行承担客户的损失。银联的本意,希望以此敦促收单行加速POS机改造、积极培训商户。

但是,部分收单行认为,对每一笔实际刷卡行为进行监控,确保刷卡使用IC模式,难度太大;在收单行看来,在受理环境业已改善的条件下,保留磁条模式已属多余,而且徒增风险。

据透露,银行相关业务同业组织将向银联建议,鉴于目前受理环境业已改善,希望银联从技术上统一封堵双模卡的磁条刷卡通道,以确保IC模式得到充分使用,降低收单行单方面承担的风险。

此外,收单行也对发卡行颇有微词,认为发卡行拿走大部分利润,承担的成本却不匹配。

根据业内公开的秘密,信用卡产业链的利润分割是,发卡行70%、收单行20%、银联10%。这样分割的理由是,发卡行承担制卡发卡、账户管理成本,并要推出刷卡回馈等促销活动,因此分得的利润最多;而收单行承担的是提供机具设备和凭证、与商户签约等成本,并由此延伸,承担了管理和培训商户、对持卡人资信负责以确保商户回款的义务。

双模卡变通所带来的收益,收单行仅分得两成;双模卡“后门”所导致的成本,则全要由收单行“埋单”。标准的切换及其过渡过程,带来了利润分配格局的失衡,在纯IC卡全面取代磁条卡和双模卡之前,这种业内的博弈仍将持续。

中国银行业协会数据显示,截至去年末,全国信用卡应偿信贷总额达8129.56亿元,较2010年末增加3637.96亿元,增长81.0%。随着信用卡市场的快速发展,相应的风险管理也日益成为业内的重要课题。

 

本文的评论功能被关闭了.