誰(shuí)盜刷了你的信用卡？小心身邊這種帶黑匣子的人

具備N(xiāo)FC（閃付）功能的各種卡片越來(lái)越多，很多人享受“非接觸”刷卡帶來(lái)的便利。但是，能夠“非接觸”刷卡的不止商家，還有攻擊者。9月11日至13日，亞太地區(qū)最大的安全盛會(huì)中國(guó)互聯(lián)網(wǎng)安全大會(huì)（ISC2017）在國(guó)家會(huì)議中心召開(kāi)。13日下午的2017 HACKPWN破解秀暨物聯(lián)網(wǎng)安全論壇上，來(lái)自360 Unicorn Team的單好奇展示了一種對(duì)NFC閃付功能信用卡的攻擊方法，在持卡人毫無(wú)察覺(jué)的情況下被攻擊者近距離盜刷。

HACKPWN是由全球頂尖黑客團(tuán)隊(duì)與360集團(tuán)旗下眾多安全團(tuán)隊(duì)共同發(fā)起，在吸收國(guó)內(nèi)外各安全峰會(huì)優(yōu)點(diǎn)的基礎(chǔ)上，融入最新穎最有趣的各類(lèi)智能硬件破解秀與破解賽，重金打造的基于物聯(lián)網(wǎng)安全的大型安全專(zhuān)題活動(dòng)。截止目前已成功舉辦兩屆，作為ISC的重點(diǎn)特色活動(dòng)，目的是倡導(dǎo)萬(wàn)物互聯(lián)時(shí)代安全無(wú)憂的智能生活，希望通過(guò)活動(dòng)幫助智能設(shè)備廠商找到和解決存在的漏洞，同時(shí)也希望加強(qiáng)民眾對(duì)智能設(shè)備的安全防范意識(shí)。

單好奇在現(xiàn)場(chǎng)演示了“吸金全過(guò)程”：他自制了兩款“黑客”工具，將一張具有閃付功能銀行信用卡放在其中一塊工具旁邊，然后手持POS刷卡機(jī)對(duì)準(zhǔn)另一個(gè)接收器，POS機(jī)器很快顯示已成功消費(fèi)金額1.23元，并打印出消費(fèi)憑單，同時(shí)他的手機(jī)也收到了相應(yīng)的消費(fèi)提示。

單好奇介紹，這是一種對(duì)NFC功能卡片最新的攻擊方法，與借記卡數(shù)額無(wú)論大小都需要支付密碼相比，NFC功能的信用卡一般有200元以下小額刷卡免密功能，這款工具正是“利用”了這個(gè)功能，在讀卡器與接收器之間搭建了一個(gè)獨(dú)特的橋梁，將正常非接觸式支付功能的作用距離（一般為3-5cm）大大擴(kuò)展。

360無(wú)線電安全研究院負(fù)責(zé)人楊卿介紹，4G與NFC是萬(wàn)物互聯(lián)時(shí)代各類(lèi)智能設(shè)備連接的基石，安全性極為重要。研究人員不斷“攻擊”找到其中的漏洞，就是為了更好的防范，避免損失。不管怎樣的盜刷，攻擊者都要讀到銀行卡數(shù)據(jù)，因此保護(hù)銀行卡數(shù)據(jù)成為重中之重，也能起到阻隔信號(hào)的作用，可以購(gòu)買(mǎi)卡防卡套等工具。如果實(shí)在不放心，也可以向銀行申請(qǐng)關(guān)閉小額支付免密功能或使用云閃付。

ISC 迄今今年已經(jīng)是第五屆，作為亞太地區(qū)安全行業(yè)規(guī)模最大、影響力最高的行業(yè)盛會(huì)，每一屆大會(huì)都吸引了大量來(lái)自世界各國(guó)的頂級(jí)安全安全專(zhuān)家和安全從業(yè)人員參與，經(jīng)過(guò)不斷地積累、創(chuàng)新，中國(guó)互聯(lián)網(wǎng)安全大會(huì)一定程度上已經(jīng)成為中國(guó)互聯(lián)網(wǎng)安全行業(yè)的展的風(fēng)向標(biāo)，逐漸成長(zhǎng)為網(wǎng)絡(luò)安全行業(yè)世界級(jí)平臺(tái)。