看板 Bank_Service 關於我們 聯絡資訊
作者TZUYIC (Celine Dion My Love)
看板Bank_Service
標題[新聞] 晶片卡上網轉帳 恐遭盜款
時間Fri Mar 26 09:01:29 2010
要看「動新聞」請點網址。 -- Ref. http://tinyurl.com/ydoq3k4 晶片卡上網轉帳 恐遭盜款 讀卡機洩個資《蘋果》記者目擊測試成功 2010年03月26日 蘋果日報 【專案組╱台北報導】 用晶片金融卡進行網路ATM交易出現安全疑慮。竹科工程師Jim向《蘋果》揭露,他測試 台灣晶片金融卡卻發現交易安全機制有漏洞,號稱無法被複製、偽造的晶片卡,在網路 ATM交易時不僅會洩露驗證資料,還能藉此偽造「未來交易」騙過銀行,他說,駭客若 製造木馬程式病毒發動攻擊,恐造成用戶損失。 高手爆料 晶片金融卡發行超過四千七百八十萬張,網路ATM用戶逐年增加,年交易金額已超過四 千億元。據財金資訊公司資料,網路ATM有安全、便利及全年無休特性,且晶片卡以動 態方式產生交易驗證碼,無法被偽造,資料也無遭側錄風險。 網路ATM不夠安全 擁有科技專業背景的Jim說,他發現的漏洞出現在網路ATM交易,實體ATM則無;他 說,讀卡機與電腦作業系統溝通時,會洩露晶片卡未加密的驗證資料,若再趁機偽造一個 交易驗證碼的請求,設定未來時間、交易金額等,晶片卡就會依此產生合法的交易驗證碼 ,藉此進行「未來轉帳交易」。Jim並以自己的晶片卡實驗,測試五家銀行晶片卡皆成功 闖關,並在記者面前實測,確認可完成餘額查詢交易。 《蘋果》請資訊安全及防治電腦犯罪等資安專家檢視,多數認為沒晶片卡仍可完成交易, 機制確實有問題。中華大學資訊工程系助理教授王俊鑫說,這顯示銀行無法辨識卡片真偽 ,且因交易資料及驗證碼在傳輸過程未全程保護。 詮力科技總經理姜冠宇說,「交易驗證碼不該有規則,可能銀行為省成本、偷懶,才會被 人抓到規則。」資訊安全顧問小邱說,「以現況來看,顯然沒有完全消弭風險。」資安顧 問trueman說,「網路ATM交易安全機制設計可再嚴謹些。」《資安人》雜誌總編輯侍 家驊說,使用者不能以為使用晶片卡就萬無一失,最基本要做到維持防毒軟體及作業系統 在最新更新狀態。 銀行公會金融業務電子化委員會副主任委員羅安昌認為,實驗者用自己的卡,讓該次交易 延遲到未來進行,「用自己的東西玩玩可以」,整個交易過程還有隱藏的安全機制保護, 「離把錢轉走還差很遠。」 「不知多少錢會轉走」 金管會銀行局長桂先農則說,希望有能力破解網路ATM交易安全機制的人,可以向銀行 局陳情,該局會進行了解。財經立委羅淑蕾表示:「人家已能破解到這樣,全部破解出來 不知道被轉走多少錢,銀行應先做防範措施。」財經立委賴士葆說,若有疑慮,「業者應 再增加安全防護。」 網路ATM交易 注意事項 ●電腦作業系統要更新到較新版本,且更新最新電腦軟體安全套件或增修版本 ●盡量使用約定帳號轉帳 ●交易時才將晶片金融卡插入讀卡機,完成交易後立即取出 ●電腦應安裝防火牆及防毒軟體,並定期更新病毒碼,避免與他人共用電腦,或連結至不 明網站、下載不明資料,或於公用電腦(如網咖)輸入個人密碼 ●使用無線上網時,不要使用網路ATM服務 ●不要透過公眾電腦使用網路ATM服務 ●進行網路ATM交易,選擇具顯示幕及鍵盤,可確認交易及輸入密碼的二代讀卡機,會較 一代讀卡機安全 資料來源:財金資訊公司 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.47.37.166
bill0168:那像渣打那種密碼產生器 應該就可以吧? 03/26 09:22
klmer19104:沒卡片 也可以嗎!? 03/26 09:45
hrc1098:同樓上的疑問!他試驗時應該是卡片都插著吧?! 03/26 09:49
f1207bill:所以就算銀行的網頁更新ActiveX也一樣有漏洞? 03/26 10:02
WebATM:天啊 什麼 我不夠安全!!! 03/26 10:17
gottsuan:這個駭客是先偷走你卡片產生的交易碼 之後就不需要有卡片 03/26 10:22
gottsuan:利用先前偷到的交易碼修改成假交易 不過只能作餘額查詢 03/26 10:23
gottsuan:這件事情前幾天立委才找銀行公會開會討論 03/26 10:24
TZUYIC:如果只能餘額查詢,那錢還是好好的待在帳戶跑不掉。 03/26 10:56
WebATM:看來 我真的要把我的兩代讀卡機拿出來用了 03/26 10:57
TZUYIC:有的二代讀卡機在某些銀行網路ATM聽說很難用,會卡卡的, 03/26 11:05
TZUYIC:目前看來看去還是一代的比較親民。 03/26 11:05
TZUYIC:不過我喜歡有鍵盤的二代讀卡機,可惜太貴了,等一臺降到100 03/26 11:05
TZUYIC:元再去買。 03/26 11:05
imrt:重點是,可產生未來的驗證碼來作假,不可不正視這風險。 03/26 11:05
gottsuan:二代不可能降到一台100... 03/26 11:14
TZUYIC:未來幾年應該有可能啦,隨身碟本來128MB要好幾千,現在4G以 03/26 11:15
TZUYIC:上不到一千。 03/26 11:15
TZUYIC:這種電子的東西總是會逐漸降價的。 03/26 11:16
tnf:看到這篇~~我的心涼了...我是網路ATM轉帳的愛用者...抖 03/26 11:28
TZUYIC:也沒那麼恐怖啦,不要太緊張。 03/26 11:29
waivsmarg:這好像是卡片插讀卡機的這種方式,用網銀帳戶直轉有差? 03/26 11:33
JFHo:對二代讀卡機有興趣的人要注意,之前的二代讀卡機不提供 Win7 03/26 11:50
JFHo:的驅動程式 http://tinyurl.com/ydjqh4b 03/26 11:51
JFHo:雖然,我在Win7底下曾經成功用過,不過還是不要買這款為佳 03/26 11:52
JFHo:新款的叫"EasyATM Secure Pro 防駭神盾ATM晶片讀卡機" 03/26 11:53
lbt:五樓 GJ 03/26 12:23
hunchisin:哀...省這種幾百塊的小錢...還是多花個幾百塊保平安 03/26 12:30
TonyQ:基本上比起這個,我比較信任OTP。多一層體系的幫助有差... 03/26 13:18
jlovet:這跟用什麼讀卡機沒關係吧...只能餘額查詢...?! 03/26 13:20
bb2002:這個人是拿國泰世華銀行的E-ATM demo說... 03/26 14:31
bb2002:如果只是餘額查詢我覺的還好啦...等他可以破解把錢轉出 03/26 14:31
bb2002:大家可能會比較重視. 03/26 14:32
bb2002:另外 看重新聞時,卡片當時也是插著.所以看來沒卡不行... 03/26 14:33
bb2002:我是覺的還好啦. (無卡就不能交易 還怕什麼...呵呵) 03/26 14:34
littledrop:這個工程師熟悉晶片卡溝通方式及規格 所以發現一些bug 03/26 17:36
littledrop:癥結是銀行端末設備查核碼固定 導致他可以模擬回傳值 03/26 17:38
littledrop:查核碼應該在每筆交易時隨機產生以防止模擬交易驗證碼 03/26 17:41
littledrop:這攻擊行為需有下列條件1電腦遭木馬植入2取得卡片密碼 03/26 17:43
littledrop:3卡片放在讀卡機上4銀行設備查核碼固定或未檢核正確性 03/26 17:45
littledrop:5模擬讀卡機行為回傳交易確認碼...前三項銀行無法控制 03/26 17:45
littledrop:因此只能加強端末設備查核碼應每筆交易動態隨機變動 03/26 17:46
littledrop:簡單說~就是拿自己卡片測試 找到銀行端一點漏洞了 03/26 17:48
littledrop:除非駭客能取得晶片卡或複製 不然離破解還有一段距離 03/26 17:51
hrc1098:真正轉帳還有一道抽拔卡手續,難怪他也只能做做查詢而已 03/27 01:07
hrc1098:如果真能不用卡片做轉帳,那才是見鬼了!不過應該不可能,因 03/27 01:08
hrc1098:為每次驗證都要從晶片上驗證,而不是從銀行端傳輸,所以重點 03/27 01:10
hrc1098:就是要有使用完就抽卡的習慣..... 03/27 01:10
f1207bill:可是能被知道餘額不算很嚴重嗎? 徵信業新工具? 03/27 10:28
littledrop:當然嚴重啊...不然怎開記者會? 針對這bug要提出改進 03/27 12:26
richjf:很嚴重.但第二代一樣中槍.所以不用花大錢買廠商的廣告機了. 03/27 20:34
bailan:http://tinyurl.com/ycaqqks 03/27 23:59
gottsuan:二代不會中槍 因為二代要在讀卡機上確認交易並輸入密碼 03/30 13:09
gottsuan:駭客在偷作交易給晶片卡時就會被攔下卡住了 因此無法產生 03/30 13:10
gottsuan:假的交易驗證碼 03/30 13:10
gottsuan:這個bug所有銀行都在3/26修正了 因為金管會說沒修好就不 03/30 13:11
gottsuan:準下班 03/30 13:11