摘 要:這是一家手刷品牌的一則風(fēng)險(xiǎn)預(yù)警提示���,做手刷很賺錢這個(gè)共識(shí)在行業(yè)內(nèi)幾乎沒(méi)人否認(rèn)�����,很多代理商頭疼的是“盜刷”和“惡意拒付”����,如果您的手刷不接受磁條卡刷卡消費(fèi)或者只能小額消費(fèi)����,而只接受芯片卡插卡或者揮卡消費(fèi)���,或許一切煩惱都會(huì)被解決�����。
這是一家手刷品牌的一則風(fēng)險(xiǎn)預(yù)警提示����,做手刷很賺錢這個(gè)共識(shí)在行業(yè)內(nèi)幾乎沒(méi)人否認(rèn)�����,很多代理商頭疼的是“盜刷”和“惡意拒付”����,如果您的手刷不接受磁條卡刷卡消費(fèi)或者只能小額消費(fèi),而只接受芯片卡插卡或者揮卡消費(fèi)���,或許一切煩惱都會(huì)被解決�。因?yàn)椴还苁遣蹇ㄟ是揮卡基于的都是讀取芯片傳送數(shù)據(jù)信息,芯片卡目前很難有黑科技有技術(shù)能夠復(fù)制��,而犯罪分子的大規(guī)模復(fù)制盜刷幾乎不可能���。而芯片卡由于很難被復(fù)制所以一般對(duì)那些惡意拒付的人也能起到警戒作用����,就算被拒付了我們也能幾乎確認(rèn)是持卡人本人或身邊人消費(fèi)的���,剩下來(lái)調(diào)查取證就會(huì)變得方向明確很多���。
目前市場(chǎng)上手刷主要分為不帶密碼鍵盤的個(gè)人支付終端俗稱:刷卡頭,以及帶密碼鍵盤的商用終端俗稱:MPOS���,而刷卡頭由于較低的成本深受市場(chǎng)認(rèn)可��,布放量極大��,但是目前95%刷卡頭只支持:磁條刷卡和芯片插卡�����,而不支持NPC非接支付����,但根據(jù)手刷市場(chǎng)目前出現(xiàn)的風(fēng)險(xiǎn)狀況,以及芯片卡普及的趨勢(shì)來(lái)看�����,帶非接功能的刷卡頭以及MPOS或許會(huì)遭熱捧����。目前已經(jīng)有部分廠家開始量產(chǎn)非接刷卡頭�����。
我們也建議各家手刷品牌禁止磁條卡交易或禁止磁條卡大額交易����,倡導(dǎo)使用插卡或揮卡的芯片交易。為什么倡導(dǎo)非接揮卡支付?因?yàn)檫@種交易完全可以作為前期風(fēng)控的手段之一��,甚至可以要求使用者第一次必須使用名下芯片卡需“閃付”揮卡消費(fèi)一次��,(系統(tǒng)內(nèi)有針對(duì)不同的磁條交易或閃付交易會(huì)有不同的記錄)����,就能證明使用者擁有的是真的芯片卡也就能順便倒推出是持卡人本人�����。簡(jiǎn)單點(diǎn)說(shuō)����,搞復(fù)制卡的犯罪分子不可能有芯片卡(不能說(shuō)絕對(duì)但真的很難有)��,所以不可能有芯片卡的閃付非接交易�����,這樣就能在很大程度上杜絕掉“盜刷”和“惡意拒付”�����。
目前市面上所發(fā)的芯片卡��,大多是“磁條芯片復(fù)合卡”����,也即“雙介質(zhì)金融IC卡”,是指在同一張卡片上���,同時(shí)有芯片和磁條兩種介質(zhì)��。發(fā)行復(fù)合卡�����,央行曾解釋稱���,是受金融IC卡受理環(huán)境改造進(jìn)度及ATM磁條預(yù)判等限制���,因此被外界認(rèn)為是“過(guò)渡產(chǎn)品”。
為什么“芯片卡”安全?
卡片防復(fù)制機(jī)制是在交易的時(shí)候有一個(gè)動(dòng)態(tài)數(shù)據(jù)驗(yàn)證����,芯片卡內(nèi)有一部分存儲(chǔ)區(qū)域是不能被隨便讀取的�����,是每張卡片特有的���,就算復(fù)制卡片����,這片區(qū)域內(nèi)的數(shù)據(jù)是不能被讀取出來(lái);做交易的時(shí)候有一個(gè)動(dòng)態(tài)驗(yàn)證,需要終端向卡片發(fā)送隨機(jī)數(shù)指令�,卡片用卡內(nèi)的私鑰對(duì)收到的數(shù)據(jù)加上卡片內(nèi)其他數(shù)據(jù)做加密運(yùn)算,產(chǎn)生一個(gè)動(dòng)態(tài)的證書�����,返回給終端�。
根據(jù)中國(guó)人民銀行發(fā)布的《中國(guó)集成電路卡規(guī)范》,卡片認(rèn)證終端合法性的過(guò)程��,叫做外部認(rèn)證����。終端認(rèn)證卡片合法性的過(guò)程,叫做內(nèi)部認(rèn)證����。
外部認(rèn)證:
外部認(rèn)證使用對(duì)稱算法。每張卡片中都會(huì)有一個(gè)用于外部認(rèn)證的秘鑰——其實(shí)就是一串?dāng)?shù)字�����,有16個(gè)字節(jié)長(zhǎng)�����。
每一張銀行卡的這個(gè)秘鑰都是不同的,發(fā)卡的時(shí)候是使用銀行的一個(gè)母秘鑰對(duì)卡內(nèi)數(shù)據(jù)�����,比如卡號(hào)�,進(jìn)行運(yùn)算,得到這張卡得秘鑰�����,然后寫進(jìn)卡里����。進(jìn)行交易的時(shí)候,卡片要求終端使用該秘鑰對(duì)當(dāng)次交易的數(shù)據(jù)(比如交易金額����,交易時(shí)間���,交易貨幣代碼等等)進(jìn)行運(yùn)算����,算出密文輸入進(jìn)卡片���。合法終端可以從后臺(tái)獲取銀行的那個(gè)母秘鑰����,并且能夠讀取到卡中的卡號(hào)等公開信息。(是的����,卡號(hào)是隨便讀的,畢竟它不就印在你的卡上么)終端就可以算出你卡內(nèi)寫的那個(gè)秘鑰是多少���,然后用這個(gè)秘鑰按照卡片的要求加密數(shù)據(jù)傳送到卡片中����,卡片用內(nèi)置的秘鑰進(jìn)行校驗(yàn)��,校驗(yàn)通過(guò)���,則認(rèn)為該終端是合法終端�����。
認(rèn)證了終端的合法性以后卡片才允許終端做一些高級(jí)別的交易�����,比如修改電子現(xiàn)金余額��。然而卡號(hào)���,有效期這樣的數(shù)據(jù)是不需要認(rèn)證就可以從卡片中讀出來(lái)的�。
于是有的人說(shuō)了���,這不還是可以隨便復(fù)制么?找張白卡寫上同樣的卡號(hào)?好����,關(guān)鍵點(diǎn)來(lái)了:終端認(rèn)證卡片合法的依據(jù)是IC卡私鑰!IC卡私鑰!IC卡私鑰!
內(nèi)部認(rèn)證:
IC卡私鑰就是內(nèi)部認(rèn)證用的����。內(nèi)部認(rèn)證使用的是非對(duì)稱算法。國(guó)際算法是RSA��,現(xiàn)在在努力推行國(guó)密算法sm2����,然而……呵呵�。
非對(duì)稱算法的特點(diǎn)是,有兩個(gè)秘鑰(也就是兩串?dāng)?shù)字),分別叫做公鑰和私鑰����。一段明文經(jīng)過(guò)私鑰運(yùn)算之后,就變的他媽都認(rèn)不得了����。但私鑰并不能把它變回原樣,必須用對(duì)應(yīng)的公鑰才可以讓它重回母親懷抱����。銀行卡內(nèi)就存著一個(gè)IC卡私鑰,這個(gè)私鑰也是每張卡都不一樣的����。一旦寫入卡里,就再也沒(méi)人知道這私鑰是什么了��。
卡片負(fù)責(zé)保證IC卡私鑰的安全�����,任何情況下都不會(huì)被泄露�。連發(fā)卡的銀行也不知道一張卡片里面的IC卡私鑰是什么。進(jìn)行內(nèi)部認(rèn)證的時(shí)候���,終端根據(jù)卡片內(nèi)讀出的公開的信息����,可以計(jì)算出卡片的IC卡私鑰對(duì)應(yīng)的公鑰是什么。(這個(gè)過(guò)程很復(fù)雜���,期間需要跟發(fā)卡行的后臺(tái)以及CA認(rèn)證中心進(jìn)行認(rèn)證�����,就不展開說(shuō)了���,反正合法的終端可以獲得IC卡公鑰)然后終端發(fā)給卡片一些數(shù)據(jù),通常是隨機(jī)數(shù)�����,卡片用卡內(nèi)存儲(chǔ)的IC卡私鑰對(duì)這個(gè)數(shù)據(jù)進(jìn)行加密��,把密文輸出給終端�。終端用IC卡公鑰解密,確認(rèn)是剛才自己發(fā)給卡得那幾個(gè)隨機(jī)數(shù)�,則認(rèn)為卡片是合法的卡片。
所以�,如果要復(fù)制芯片卡��,就必須要得到這個(gè)每張卡都不一樣的,連銀行都不知道是什么的�����,從來(lái)都不會(huì)被以任何形式輸出IC卡私鑰!
磁條降級(jí)交易
但多位業(yè)內(nèi)人士表示�����,實(shí)際上當(dāng)復(fù)合卡被當(dāng)做磁條卡來(lái)刷卡消費(fèi)時(shí)��,“安全性與磁條卡一樣���,沒(méi)有絲毫提高��!币晃徊辉妇呙闹袊(guó)銀聯(lián)技術(shù)工程師證實(shí)了這個(gè)說(shuō)法,“復(fù)合卡是物理上兼容了芯片卡的功能�����,和磁條卡符合的標(biāo)準(zhǔn)是一樣的�����。”復(fù)合卡原則上應(yīng)該插入芯片消費(fèi)�,但如果消費(fèi)不成功,磁條刷卡也是可以的���。上述銀聯(lián)技術(shù)工程師從技術(shù)上印證了這一說(shuō)法:“復(fù)合卡有一種功能�����,當(dāng)芯片交易失敗后����,就會(huì)‘降級(jí)’為磁條卡交易方式�。”
但“降級(jí)交易”始終屬于過(guò)度��,央媽覺(jué)得過(guò)渡期已經(jīng)夠長(zhǎng)的了�����,于是2016年6月13日�����,央行下發(fā)特急文件《中國(guó)人民銀行關(guān)于進(jìn)一步加強(qiáng)銀行卡風(fēng)險(xiǎn)管理的通知》�,通知中規(guī)定:自2017年5月1日起��,全面關(guān)閉芯片磁條復(fù)合卡的磁條交易����。各商業(yè)銀行應(yīng)采取換卡不換號(hào)��、實(shí)時(shí)發(fā)卡等措施加快存量磁條卡更換為金融IC卡的進(jìn)度��。
眾所周知目前幾乎所有的盜刷行為都發(fā)生在磁條卡上面����,這是因?yàn)槠胀ǖ你y行卡磁條上僅有三軌信息��,很容易被復(fù)制�����,而犯罪分子就瞅準(zhǔn)了這個(gè)漏洞���,專門利用ATM機(jī)��、POS機(jī)加裝盜取銀行卡信息設(shè)備盜取銀行卡信息����,進(jìn)而制作“復(fù)制卡”進(jìn)行盜刷,但如果換成芯片卡����,復(fù)制克隆卡的難度就增加很多,小編目前還未曾聽說(shuō)過(guò)單芯片卡被復(fù)制盜刷的案例���。
所以鑒于以上原因���,POS圈支付網(wǎng)推測(cè),傳統(tǒng)手刷或漸漸遭到淘汰��,而市場(chǎng)將贏來(lái)較大變動(dòng)����,因?yàn)槿缃竦氖袌?chǎng)缺少刺激點(diǎn),大部分手刷品牌不論從費(fèi)率還是功能方面都是千篇一律�����,而非接功能的刷卡頭的出現(xiàn)或許會(huì)成為一張超級(jí)安全牌���,誰(shuí)能最先打出這張安全牌成為熱門噱頭�,讓我們拭目以待。
轉(zhuǎn)載請(qǐng)注明出處:http://www.szjzkzz.com
嘉卡卡制造服務(wù)熱線: 
