對(duì)大多數(shù)銀行客戶來說，ATM（自動(dòng)取款機(jī)）是一個(gè)檢查賬戶、取現(xiàn)金的安全場(chǎng)所。但漸漸地，對(duì)不警覺客戶而言ATM正變成一個(gè)詐騙陷阱。例如今年2月在美國波士頓，3人因向美洲銀行（Bank of America）和國民銀行（Citizens Bank）所屬的ATM里植入假冒的讀卡器而被警方抓捕。在被逮捕前，他們累計(jì)獲得的不義之財(cái)高達(dá)137 000美元。

據(jù)專家介紹，把假讀卡器植入到ATM里以采集銀行卡數(shù)據(jù)的詐騙手段被稱為 “卡片瀏覽（skimming）”，這種詐騙手段在美國以及世界各地都在快速增長。據(jù)SecurityCurve咨詢公司的創(chuàng)始人Diana Kelley稱，對(duì)全球的銀行和消費(fèi)者而言，ATM卡片瀏覽每年導(dǎo)致的損失大約為10億美元。

Javelin Strategy & Research是一家金融服務(wù)分析和咨詢機(jī)構(gòu)。該機(jī)構(gòu)四月的一份報(bào)告顯示，在美國，所有欺詐受害者中有10％的人曾在假冒的ATM上提取過現(xiàn)金，結(jié)果23％受害者成為了其他金融機(jī)構(gòu)的客戶。Javelin的研究分析師Robert Vamosi表示，在美國，近20％欺詐受害者的PIN（個(gè)人識(shí)別號(hào)）被盜。

先進(jìn)的ATM卡片瀏覽設(shè)備

詐騙專家表示，雖然過去5年一直存在著卡片瀏覽問題，但現(xiàn)在這些設(shè)備已經(jīng)變得更加精密和難以察覺了。僅在美國就有超過425000臺(tái)ATM可以成為罪犯的目標(biāo)，他們可以在不同地點(diǎn)的各種ATM上試試自己的運(yùn)氣。

FICO（Fair Issac Corp）是一家提供FICO信用評(píng)分以及欺詐檢測(cè)產(chǎn)品和服務(wù)的公司，該公司的高級(jí)欺詐解決方案總監(jiān)Michael Urban說，“從制造或者購買的角度來看，ATM卡片瀏覽設(shè)備都比過去更為先進(jìn)，這也使得用戶更難辨別這些設(shè)備。罪犯還使用了和ATM制造商相同的油漆和表面加工。”此外，他補(bǔ)充說，“現(xiàn)在許多罪犯通過藍(lán)牙或GMS手機(jī)信號(hào)來傳輸所盜竊的數(shù)據(jù)，而不必回到ATM處去獲得存儲(chǔ)的數(shù)據(jù)”。

PG Silva咨詢公司的首席咨詢師Jerry Silva同意上述的觀點(diǎn)，“罪犯是根據(jù)ATM的顏色來進(jìn)行復(fù)制的。即使整個(gè)外觀發(fā)生了變化，消費(fèi)者也很難區(qū)分出來”。

SecurityCurve公司的Kelley表示，一款優(yōu)質(zhì)的卡片瀏覽器（skimmer）的價(jià)格大概在5000到8000美元之間?，F(xiàn)在的許多卡片瀏覽器都有卡片讀取器和重疊的鍵盤，這使得卡片數(shù)據(jù)和PIN都可以被獲取。另外，罪犯也可以利用一個(gè)隱藏的攝影機(jī)來窺視消費(fèi)者所輸入的安全密碼。咨詢師們表示，不管罪犯將目標(biāo)鎖定在哪個(gè)地方，他們都更趨向于攻擊最常見的ATM，但實(shí)際上所有類型的ATM都存在著風(fēng)險(xiǎn)。

銀行和ATM的銷售商正嘗試各種方法來阻止卡片瀏覽，比如將商業(yè)廣告放在ATM上顯示以提醒消費(fèi)者關(guān)于卡片瀏覽的事情、向鍵盤和讀卡器添加傾斜角使得卡片瀏覽器更難安裝，或者添加傳感器以檢查ATM機(jī)是否裝有其他設(shè)備并向銀行員工發(fā)送警報(bào)。另外，還有在物理上起作用的“振動(dòng)（jitter）”技術(shù)，它能使卡片在進(jìn)入讀卡器時(shí)發(fā)生抖動(dòng)，從而使得卡片瀏覽設(shè)備更加難以讀取卡片的信息。但是，一些專家表示振動(dòng)技術(shù)并不是一個(gè)全方位的防護(hù)措施。

ATM卡片瀏覽保護(hù)

除了反卡片瀏覽技術(shù)外，金融機(jī)構(gòu)還可以采取以下措施來保護(hù)ATM以及客戶免受來自卡片瀏覽器的攻擊：

1. 每天對(duì)ATM進(jìn)行一次物理檢查。Silva說：“最佳的實(shí)踐是，每當(dāng)ATM周圍擠滿了人，就進(jìn)行一次物理檢查”。如果卡片瀏覽器已經(jīng)安裝在你或者你競爭對(duì)手的ATM上，采取這一措施就顯得尤為重要了。FICO的Urban說：“你需要增加檢查次數(shù)，并派人每天外出對(duì)ATM檢查幾次，包括下班后和周末。罪犯會(huì)考察每一個(gè)他們即將下手的地點(diǎn)，如果他們發(fā)現(xiàn)這個(gè)地點(diǎn)加強(qiáng)了檢查，便可能會(huì)另選其他的目標(biāo)。雖然這是一個(gè)技術(shù)含量比較低的解決方案，但它往往行之有效?！?/P>

2. 加強(qiáng)ATM外觀的標(biāo)準(zhǔn)。Urban說：“ATM視覺標(biāo)準(zhǔn)的采納將會(huì)使所有ATM看起來都應(yīng)該是一樣的。”他同時(shí)指出，分行的經(jīng)理可以在這類ATM里面加入一些東西，但其他的ATM則沒有加入，這樣它們看起來顯得略為有些不同。他說：“一間分行決定在ATM上設(shè)置一個(gè)型錄架（brochure holder），另一個(gè)分公司則沒有安裝這樣的設(shè)置，這將使得ATM的外表五花八門。你希望它們的標(biāo)準(zhǔn)盡量趨向一致，這樣你就可以判斷ATM是否裝有卡片瀏覽器了?！?/P>

3. 確保PIN輸入設(shè)備符合支付卡產(chǎn)業(yè)安全標(biāo)準(zhǔn)委員會(huì)（Payment Card Industry Security Standards Council，PCI SSC）的標(biāo)準(zhǔn)，該委員會(huì)管理著PCI數(shù)據(jù)安全標(biāo)準(zhǔn)。PCI SSC還有針對(duì)商家的指導(dǎo)方針：《卡片瀏覽預(yù)防：商家的最佳做法》，其中包含了可以幫助商家精確地找到漏洞的自我評(píng)價(jià)表格。

4. 查找客戶賬戶的異?；顒?dòng)。Urban說：“雖然欺詐檢測(cè)軟件不是萬無一失的，但它可以檢測(cè)出與欺詐交易相關(guān)的一些行為?！崩纾粋€(gè)客戶總是在本地使用自己的借記卡或信用卡，突然間在巴西做出一次大規(guī)模的采購，這時(shí)該軟件就可以向銀行發(fā)起提醒，這可能會(huì)延遲交易，直到其合法性得到驗(yàn)證為止。Urban表示，客戶最新的聯(lián)系信息在迅速核實(shí)交易的合法性或停止欺詐行為方面至關(guān)重要。銀行賬戶監(jiān)控也需要經(jīng)常更新自己的客戶數(shù)據(jù)。

5. 與其他銀行的安全人員建立工作關(guān)系。Urban表示，電子安全工作組的深入?yún)⑴c、甚至與本地其他的銀行臨時(shí)合作，都可以在卡片瀏覽器竊取各自的ATM數(shù)據(jù)時(shí)，幫助銀行安全管理人員。

Chip和PIN銀行卡

卡片瀏覽問題的最終解決可能要借助于智能卡技術(shù)（Chip和PIN）。該芯片攜帶數(shù)據(jù)但沒有磁條，可在世界范圍內(nèi)廣泛使用。歐洲各國正在過渡到Europay、MasterCard和Visa (EMV)智能卡規(guī)范，該規(guī)范需要一個(gè)微型芯片和磁條來完成交易。當(dāng)EMV成為歐洲的標(biāo)準(zhǔn)時(shí)，一張只帶芯片數(shù)據(jù)的克?。╟loned）卡將被拒絕，這將于2011年開始實(shí)施。根據(jù)Visa Europe的調(diào)查數(shù)據(jù)，歐洲的4000多家銀行和支付服務(wù)供應(yīng)商已經(jīng)開始發(fā)行2.5億張符合Visa EMV標(biāo)準(zhǔn)的Chip和PIN銀行卡，并將同時(shí)對(duì)數(shù)百萬臺(tái)讀卡器進(jìn)行升級(jí)。

然而，美國在近期內(nèi)并不會(huì)緊跟歐洲的腳步。

Silva表示，“ATM欺詐的損失還沒有大到讓美國銀行重新發(fā)行銀行卡和重新部署取款機(jī)的地步。因?yàn)殂y行必須對(duì)每臺(tái)ATM更換讀卡器、更換每個(gè)POS設(shè)備和軟件，以及所有的銀行卡，同時(shí)還要對(duì)消費(fèi)者進(jìn)行培訓(xùn)?？傊?，與歐洲不一樣的是，詐騙的損失還沒有大到讓美國銀行去做此類調(diào)整。”

【編輯推薦】

1. 黑客使用信用卡入侵ATM詳細(xì)報(bào)道
2. 近期安全回顧:云計(jì)算有風(fēng)險(xiǎn)ATM機(jī)成駭客新寵