晶片卡上網轉帳 恐遭盜款 - 銀行

要看「動新聞」請點網址。

--

Ref. http://tinyurl.com/ydoq3k4

晶片卡上網轉帳 恐遭盜款

讀卡機洩個資《蘋果》記者目擊測試成功

2010年03月26日 蘋果日報

【專案組╱台北報導】

用晶片金融卡進行網路ＡＴＭ交易出現安全疑慮。竹科工程師Jim向《蘋果》揭露，他測試
台灣晶片金融卡卻發現交易安全機制有漏洞，號稱無法被複製、偽造的晶片卡，在網路
ＡＴＭ交易時不僅會洩露驗證資料，還能藉此偽造「未來交易」騙過銀行，他說，駭客若
製造木馬程式病毒發動攻擊，恐造成用戶損失。

高手爆料

晶片金融卡發行超過四千七百八十萬張，網路ＡＴＭ用戶逐年增加，年交易金額已超過四
千億元。據財金資訊公司資料，網路ＡＴＭ有安全、便利及全年無休特性，且晶片卡以動
態方式產生交易驗證碼，無法被偽造，資料也無遭側錄風險。

網路ＡＴＭ不夠安全

擁有科技專業背景的Jim說，他發現的漏洞出現在網路ＡＴＭ交易，實體ＡＴＭ則無；他
說，讀卡機與電腦作業系統溝通時，會洩露晶片卡未加密的驗證資料，若再趁機偽造一個
交易驗證碼的請求，設定未來時間、交易金額等，晶片卡就會依此產生合法的交易驗證碼
，藉此進行「未來轉帳交易」。Jim並以自己的晶片卡實驗，測試五家銀行晶片卡皆成功
闖關，並在記者面前實測，確認可完成餘額查詢交易。

《蘋果》請資訊安全及防治電腦犯罪等資安專家檢視，多數認為沒晶片卡仍可完成交易，
機制確實有問題。中華大學資訊工程系助理教授王俊鑫說，這顯示銀行無法辨識卡片真偽
，且因交易資料及驗證碼在傳輸過程未全程保護。

詮力科技總經理姜冠宇說，「交易驗證碼不該有規則，可能銀行為省成本、偷懶，才會被
人抓到規則。」資訊安全顧問小邱說，「以現況來看，顯然沒有完全消弭風險。」資安顧
問trueman說，「網路ＡＴＭ交易安全機制設計可再嚴謹些。」《資安人》雜誌總編輯侍
家驊說，使用者不能以為使用晶片卡就萬無一失，最基本要做到維持防毒軟體及作業系統
在最新更新狀態。

銀行公會金融業務電子化委員會副主任委員羅安昌認為，實驗者用自己的卡，讓該次交易
延遲到未來進行，「用自己的東西玩玩可以」，整個交易過程還有隱藏的安全機制保護，
「離把錢轉走還差很遠。」

「不知多少錢會轉走」

金管會銀行局長桂先農則說，希望有能力破解網路ＡＴＭ交易安全機制的人，可以向銀行
局陳情，該局會進行了解。財經立委羅淑蕾表示：「人家已能破解到這樣，全部破解出來
不知道被轉走多少錢，銀行應先做防範措施。」財經立委賴士葆說，若有疑慮，「業者應
再增加安全防護。」

網路ATM交易 注意事項

●電腦作業系統要更新到較新版本，且更新最新電腦軟體安全套件或增修版本
●盡量使用約定帳號轉帳
●交易時才將晶片金融卡插入讀卡機，完成交易後立即取出
●電腦應安裝防火牆及防毒軟體，並定期更新病毒碼，避免與他人共用電腦，或連結至不
明網站、下載不明資料，或於公用電腦（如網咖）輸入個人密碼
●使用無線上網時，不要使用網路ATM服務
●不要透過公眾電腦使用網路ATM服務
●進行網路ATM交易，選擇具顯示幕及鍵盤，可確認交易及輸入密碼的二代讀卡機，會較
一代讀卡機安全

資料來源：財金資訊公司

--