盗窃新手法:隔着车窗 你ETC里的钱也能不翼而飞

2016-12-14 20:21:54编辑:鲁迪 关键字:ETC  POS机  NFC  闪付  盗刷

最近,在朋友圈里流传着一种赚钱的“逆天方法”。

【POS 机隔空盗刷 ETC 速通卡】

不知道你看懂了没。如图所示,作案工具只需要一个POS机

用POS机在随意一辆装有 ETC 装置的汽车风挡前面,输入刷卡金额100块,然后轻轻一刷,点击确认,就可以从 ETC 速通卡中扣款了。

这简直是一种变态的盗窃方法。

而且,真的有人录制了通过这种方法盗刷ETC卡的视频。

本站在第一时间询问了360无线电安全研究部(独角兽团队)的负责人杨卿。他确认了这种盗窃方法的可行性。

之前的 ETC 速通卡本身就是带有 NFC 功能的信用卡,而现在很多 ETC 速通卡都直接使用银行的信用卡。而最新的信用卡一般都开通了“闪付”功能,“闪付”的最大特点就是可以免密支付。

“闪付”(QuickPass)是银联的非接触式支付产品及应用,是为了小额快速支付而研发的功能。从技术上来说,就是通过 NFC 功能进行支付校验。


【带有芯片,就是有闪付功能的银行卡】

而为了小额支付的方便性,NFC 银行卡/信用卡用户一般都会开通免密支付的“闪付”,也就是说,对方在扣费的时候,是不需要卡主输入密码的。换句话说,如果卡主不在现场或者不知情,也同样可以扣费成功。

当然,这种方便的支付方法显然存在漏洞,于是银联限制了用户的免密码免签名的小额支付的额度,额度为300元。而且是在银行卡内开设独立的闪付账户,不和主账户连通。超过这个数额,就需要密码或签名记账。

这也是为什么POS机刷速通卡的时候,输入的金额为100元的原因。(输多了刷不出来)

其实,杨卿和团队研究 NFC 支付已经有很长时间了,他告诉本站,相比车而言,人们先要担心一下自己的钱包。

现在 NFC “闪付”功能的银行卡/信用卡很普及,每个人的钱包里,都有可能有带有这样的卡片。黑客利用POS机,或者改装过的POS机设备,只要在你钱包旁边略过,就可以把闪付账户里的钱划走。


【用POS机盗刷钱包中的银行卡示意图】

事实上,杨卿和独角兽团队早就意识到了闪付卡的风险。

在2016年的顶级国际黑客大会BlackHat Europe 和 CanSecWest 上,他已经对 NFC 闪付功能的漏洞做了详细的演讲。并且利用自制的设备,放在黑手套里,现场展示了如何从你身边走过,就盗走了你的钱。

而且, 通过读卡设备,还可以读到银行卡最近十笔交易记录。(如果你刚好去过如家速8和等等不可言状的场所,后果不堪设想)


【可以读取最近十次的交易记录】

NFC 设备的读取距离一般是 5cm,而 ETC 速通卡由于是插在贴在挡风玻璃的装置内,所以用无线POS机读取挡风玻璃内的银行卡,是真的可以成功的。

杨卿说。

之前,杨卿和团队也专门开发了一款360卡防,正是用来保护NFC银行卡安全的产品。


【在之前的采访中,杨卿展示用手套下隐藏的读卡器盗刷钱包中的钱】

你可能会问,我的钱被别人用POS机刷走了,难道在银行系统里不会有记录吗?

没错,银行系统确实有记录,但是只能追溯到POS机。而有关部门对POS机的监管究竟如何呢?办理过 POS 机的童鞋都知道,其中也许是有空子可钻的。

而且,有常识的童鞋都知道,为了100块钱去报案,警察蜀黍会说神马。。。

说到这里,有 ETC 卡的你是不是已经惊出一身冷汗了呢?杨卿通过本站给出了一些建议:

1、对于车而言,没人的时候把卡从ETC装置里取下来收好。

2、对于钱包而言,可以使用屏蔽钱包,或者在NFC银行卡屏蔽卡套。或者使用卡防等保护NFC安全的产品。


关键字:ETC  POS机  NFC  闪付  盗刷

来源: 雷锋网 引用地址:http://www.eeworld.com.cn/afdz/article_2016121410035.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:傀儡POS机、车外盗刷ETC卡 银行卡曝重大安全隐患
下一篇:普通IC卡安全问题突出 门禁系统选正规厂家

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

ETC系统介绍及原理_etc怎么办理

        ETC,对于开车一族来说基本都是知道的,就是高速不停车收费,ETC的到来,不仅为车主出行过高速带来了便捷,减轻了高速收费站的负担,也在很大程度上给高速的交通缓解了不小的压力,尤其是在高峰期的时候较为明显。本文首先介绍了ETC系统组成及工作原理,其次阐述了ETC技术设备电子标签及微波天线,最后介绍了怎么办理ETC卡的流程。  什么是ETC  ETC是不停车电子收费系统,ETC专用车道是给那些装了ETC车载器的车辆使用的,采用电子收费方式。  ETC( Electronic Toll CollecTIon ) 不停车收费系统是目前
发表于 2018-05-25 08:44:56
ETC系统介绍及原理_etc怎么办理

比ETC方便!支付宝推高速收费过闸通道

很多人都有过这样的经历:每当高峰期或者车流量较大的时候,高速路口总是聚集很多的车。而ETC收费口虽然有效提高了效率,但是一旦某个车辆的ETC卡片出现问题,ETC路口也同样堆满了车。而且并不是所有的车主都拥有ETC,大部分车主还是要在收费口排队。高速收费口(图片来自网络)  或许未来这种情况会有所改观。近日支付宝上线了新功能,将车牌号与支付宝账号绑定以后,即可开通“车牌付”功能。在高速路口过闸时,只需要扫描车牌号即可快速过闸。而且在这一过程中不需要掏出手机,支付宝会在后台自动扣费,还是非常方便的。“车牌付”功能  实现方法也很简单,只需要点开“芝麻信用”-“出行”-“高速ETC”,即可在里面看到“车牌付”功能,然后根据显示的步骤
发表于 2018-01-22 08:48:18
比ETC方便!支付宝推高速收费过闸通道

杭州萧山机场使用支付宝“无感停车场”,ETC时代终结?

随着支付宝支付范围的扩散,在国内无现金支付已经逐步成为一种趋势,不带现金走天下已经成为现实。 2017年7月份,杭州萧山机场率先使用了支付宝“无感停车场”,具体做法是将车牌与支付宝绑定,用户停车及离场全部实现智能化,智能识别车牌、计算时间并扣款,减少了取卡、付款和排队的时间,效率大大提高。  这个功能刚刚推出的时候,很多人就希望能够用在高速公路上,这样连ETC都能取消,还能减少因停车取卡、收费造成的高速拥堵,尤其是拥堵时段简直是造福人类。其实要实现这个功能并非技术上的难题,难就难再要打通全国的收费口的数据,然而这对于马云家的支付宝来说也不是什么难事。  时隔半年,马云家的支付宝已经
发表于 2018-01-14 19:06:58
杭州萧山机场使用支付宝“无感停车场”,ETC时代终结?

傀儡POS机、车外盗刷ETC卡 银行卡曝重大安全隐患

近日曝光了两起与银行卡盗刷有关的案件,一是“傀儡POS机”,只要你的卡在上面刷过,包括密码在内的所有信息就全部被盗取了;二是不少车主的ETC信用卡,隔着车窗都被人盗刷了……在这个骗子太多,傻子不够用的年代,大家对诈骗行为都格外敏感,公安部门不遗余力地号召大家保护好个人信息,尤其是银行卡。年轻人可能认为,被骗钱转账那是老人家才会中的招,你也许不知道现在犯罪分子的手段,已经可以让你银行卡在手,卡里的钱却不见了——不管你是2、30岁的科技宅,还是4、50岁的大明白,都可能中招。近日曝光了两起与银行卡盗刷有关的案件,一是“傀儡POS机”,只要你的卡在上面刷过,包括密码在内的所有信息就全部被盗取了;二是不少车主的ETC信用卡,隔着车窗都被
发表于 2016-12-14 20:17:46
傀儡POS机、车外盗刷ETC卡 银行卡曝重大安全隐患

MINI2440启动配置文件/etc/init.d/rcS文件分析

Mini2440启动配置文件说明  对于mini2440,虽然root_qtopia这个文件系统的GUI是基于Qtopia的,但其初始化启动过程却是由大部分由busybox完成,Qtopia(qpe)只是在启动的最后阶段被开启。  由于默认的内核命令行上有init=/linuxrc, 因此,在文件系统被挂载后,运行的第一个程序是根目录下的linuxrc。这是一个指向/bin/busybox的链接,也就是说,系统起来后运行的第一个程序也就是busybox本身。这种情况下,busybox首先将试图解析/etc/inittab来获取进一步的初始化配置信息(参考busybox源代码init/init.c
发表于 2016-07-19 11:52:49

精密的电路轨迹可抵御黑客攻击

瑞士Multiple Dimensions公司推出的3D-MID(三维模塑互连器件)可防止支付终端被攻击当今社会,POS机显然已无法完全保障数据安全,这也不再是零售行业的秘密。2015年底,位于德国柏林的安全研究实验室(Security Research Labs)就揭示了这些设备是如何被攻击的。“黑客可以轻而易举地完成攻击,”位于瑞士比尔的Management at Multiple公司的销售和项目管理负责人Thomas Hess对此予以证实。黑客能直接攻击终端硬件所产生的后果是,他们可以访问敏感的数据,例如信用卡号码和PIN码。Hess说:“因为设备一般会缓存个人信息,以防止支付交易期间因互联网连接中断而导致数据丢失
发表于 2017-07-22 19:03:07
精密的电路轨迹可抵御黑客攻击

小广播

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 视频监控 智能卡 防盗报警 智能管理 处理器 传感器 其他技术 综合资讯 安防论坛

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2018 EEWORLD.com.cn, Inc. All rights reserved