磷敢做,就有回报! ”,这是 Groupement des Cartes Bancaires CB 几个月前发布的口号,旨在推动非接触式支付的使用。另一种选择可能是:“Ask 被黑了!” », 车2012年发现的安全漏洞安全专家 Renaud Lifchitz 的说法仍未实现(请阅读下面的方框)。这是有充分理由的:除非你改变底层技术架构,否则这是不可能的,而改变底层技术架构的成本太高了。
银行官方一直否认与此安全缺陷相关的真正风险,该安全缺陷允许恶意人员远程捕获卡号及其有效日期(如果该卡不是最近的,甚至是姓名和交易历史记录)。然而,大约一年来,所有法国机构都储备了防 NFC 保护套,免费提供给有需要的顾客。
如果他们这样装备自己,那不是出于快乐,而是出于义务。“银行必须拥有相当于流通中 NFC 卡数量 10% 的库存。这是法兰西银行的指示””,DSD Image 总经理 Eric Granet 解释道,该公司是一家防 NFC 保护套制造商,几位银行经理曾与该公司接洽。
在法兰西银行,我们最大限度地减少信息。“这不是正式义务。这是每家银行必须实施并证明其合理性的风险管理政策的一部分。”解释金融机构的新闻服务。但为什么要设定这个 10% 的门槛呢?我们是否应该这样理解用户被黑客攻击的几率是十分之一?“绝对不是。 这只是一个似乎可以接受的水平,可以应对可能的需求并启动泵”,增加了新闻服务。
与箱子制造商联系的银行官员并没有像法国银行那样以柔和的方式表达自己的意思。埃里克·格拉内特表示,这只股票旨在缓解用户可能出现的恐慌浪潮。例如,这种情况可能通过大规模黑客行动或对该问题的过度宣传而发生。到目前为止,这两种情况都没有发生。
而且,这并不是银行实施的唯一对策。法兰西银行还要求他们制定应客户要求停用 NFC 的程序。对于银行来说,这种选择绝对应该避免。一方面,这将减少 NFC 用户数量,从而减少该市场最终腾飞的机会。另一方面,它相当昂贵。“各机构没有必要的工具来进行这种类型的操纵。因此,他们将被迫将客户的卡发送到所谓的个性化研讨会。每张卡的操作成本约为 10 欧元 »Lexsi 的安全专家 Nicolas Kerschenbaum 解释道。
因此,在出现问题时免费提供防 NFC 保护壳似乎是两害相权取其轻的做法。 NFC 的使用仍然是可能的,而且比停用便宜得多。防 NFC 保护壳的价格从每件 15 到 50 美分不等。因此计算很快就完成了。
但防 NFC 保护壳真的有助于打击盗版吗?“这很有效。这相当于将银行卡放入阻挡波浪的法拉第笼中。另一方面,我们在付款时不受保护,因为我们必须将卡从盒子中取出””,尼古拉斯·克申鲍姆 (Nicolas Kerschenbaum) 解释道。
例如,通过将自己定位在收银机附近,装备精良的黑客可以窃取所有路过的顾客。“投资 300 欧元就足以制造一种设备,可以从几米外的卡上读取数据”,指定安全专家。与 CB 银行卡集团声称的相反,这种黑客攻击实施起来并不困难。
然而,很明显,目前为止,已知的 NFC 黑客故事还很少。“有一个案例,其中一个设备放置在银行 ATM 上,仅此而已。必须指出的是,NFC 黑客攻击没有留下任何痕迹。因此,事后很难证明欺诈源于 NFC 的数据盗窃。此外,对于黑客来说,钓鱼仍然是一种更舒适、更经济的窃取卡号的技术:你所需要做的就是通过僵尸网络发送电子邮件,一切都是远程匿名完成的。,追求尼古拉斯·克申鲍姆。
结论:您需要警惕非接触式支付的相关风险,但无需恐慌。对安全性非常敏感的人可以停用此功能,或者获取防 NFC 保护套或钱包,这样仍然可以限制风险。
另请阅读:
CNIL 正在调查 NFC 非接触式卡的安全性,2012 年 5 月 22 日
