一种可能的盗刷方式

娃他爹 · 发表于 2014-8-29 19:21

招行的单标EMV卡带paywave功能。该功能能够兼容NFC技术，也就是说，你的这张卡，即使是放在钱包里面，依然可以使用带NFC功能的手机，读出你的银行完整的卡号。

这是一件很危险的事情。

为什么这么说呢，我们假定一个场景，你的招行EMV卡，通过挂号信投递到你家。在这个投递过程中，某个别有用心的人接触了你的挂号信（比如说物业/保安帮你代收），他不需要拆开你的信，只需要用手机扫了一下你的挂号信，就可以获得如下信息：

你的完整卡号；
你的姓名（从信封上可知）；
你的卡有效期（从邮戳上往后推5年）；

有这三点信息，足以在境外网站进行无卡支付。例如在美亚购买gift card。这种情况下，你很难追回款项。

这里为什么要特别针对招行EMV卡呢？很简单，国内其他可用NFC读出的卡片都是银联的，无卡交易往往需要手机短信或者银行网关的验证，相对安全一些。

结论就是：招行emv卡的发行方式有重大安全隐患。

网卡玩 · 发表于 2014-8-29 19:24

真的假的？还好没申

dandan09 · 发表于 2014-8-29 19:29

还好,没开卡

pravote · 发表于 2014-8-29 19:40

哎呀，我的是磁条的，真不错。

Execute · 发表于 2014-8-29 19:56

现在加办招行全币种送399积分哦

袍哥 · 发表于 2014-8-29 20:47

都不需要读卡号我刚才实验了一下用铅笔隔着三层纸（信封一层卡信息纸一层自己用来拓下号码的纸一层）可以把卡号拓下来包括有效期清晰可见

这是无解的所以别怪招行和paywave功能

娃他爹 · 发表于 2014-8-29 20:57

袍哥发表于 2014-8-29 20:47
都不需要读卡号我刚才实验了一下用铅笔隔着三层纸（信封一层卡信息纸一层自己用来拓下号码的纸 ...

拓完你就能看到痕迹了

网卡玩 · 发表于 2014-8-29 21:19

Execute 发表于 2014-8-29 19:56
现在加办招行全币种送399积分哦

就因为这399积分差点申请了

syjinmailang · 发表于 2014-8-29 21:23

这个没测试过行得通不，不过最近招行盗刷的好像是蛮多的，我们这里的新闻最近报了好几起

kkk366 · 发表于 2014-8-29 21:25

重要的发现，立即发给招行信用卡中心，让他们想办法改变邮寄方式

lasef · 发表于 2014-8-29 21:33

话说刚刚实验了一下，用nexus7二代加支付宝钱包客户端
其他卡都可以识别，显示部分卡号和使用信息等
招行那张全币放上去有反应，跳出提示框“该卡暂时无法识别，是否愿意上报卡类型信息，以支持我们后续优化？”
中行全币，放上去完全没有反应

看来招行这卡硬件兼容了，只是支付宝的数据库有待升级添加相关信息

lasef · 发表于 2014-8-29 21:39

还有哪些可以用nfc功能读卡信息的软件？求教

whsnl1314 · 发表于 2014-8-29 21:47

啊，这样看来芯片卡岂不是更不安全？

娃他爹 · 发表于 2014-8-29 21:48

whsnl1314 发表于 2014-8-29 21:47
啊，这样看来芯片卡岂不是更不安全？

中银的emv还是安全的

wjq135 · 发表于 2014-8-29 23:02

lasef 发表于 2014-8-29 21:33
话说刚刚实验了一下，用nexus7二代加支付宝钱包客户端
其他卡都可以识别，显示部分卡号和使用信息等
招行 ...

NFC用支付宝测试干嘛？
有专业软件，我可以完全读取招行全币种卡信息。

hongkin · 发表于 2014-8-29 23:53

娃他爹发表于 2014-8-29 21:48

中银的emv还是安全的

啥专业软件？

fourcc · 发表于 2014-8-30 00:57

@辰辰过来瞧瞧。。。

袍哥 · 发表于 2014-8-30 01:35

娃他爹发表于 2014-8-29 20:57
拓完你就能看到痕迹了

是的不过大部分信用卡用户不会知道向别有用心的人泄露了卡号有什么危害

huahua2013 · 发表于 2014-8-30 07:32

原来如此，学习了、
希望小昭后面改进。。

cnzp027 · 发表于 2014-8-30 09:10

lasef 发表于 2014-8-29 21:39
还有哪些可以用nfc功能读卡信息的软件？求教

碰碰米试一下看看、、、、

		自动登录	找回密码
密码			加入玩卡网

一种可能的盗刷方式

评分

相关帖子