联邦银行(澳大利亚金融服务供应商)出版过这样一篇名为“ATM卡信息读取和PIN号码获取指南”的报告,报告指出,信用卡信息读取技术主要是通过盗取ATM卡背面磁条的数据来进行的,用于读取信用卡磁条信息的设备和卡片的大小差不多,通常会在制造ATM的工厂在ATM机的上面或者旁边安装这种读卡器。
然后诈骗者会安装另一种设备来获取与用户信用卡相关的PIN号码,在强光的照耀下,可以发现ATM的键盘上安装有这种设备,或者在发生器和屏幕的旁边,也就是说,可能在机器的任何位置。
该报道还提供了被安装了读卡器设备的ATM机器的照片,令人惊讶的是,这些设备看起来就像ATM的一部分一样。很难从视觉上判断你插入信用卡的设备是另外添加的。PIN号码的获取设备也是这样,大部分PIN号码获取设备都是及其隐蔽的,甚至有可能使用伪造键盘替换真实键盘来获取数据。
这些犯罪份子通常会在深夜或者清晨的时候来获取读卡器的信息。
那么对于管理这种ATM机有何建议呢?其中最关键的建议就是:了解ATM。
当然,这是个不太好的解决方案,因为那些制作ATM的人按理来说,应该是仔细和勤奋的,虽然这只是理想。
其次,这些制造ATM的人要解决的一个基本问题就是设计缺陷问题,如果不能轻而易举辨认出ATM是否被修改过,那么即使是最勤奋的ATM看守人都可能导致安全泄漏问题。
这里有一个典型的风险管理问题:虽然已经在广泛运用一种解决方案,但是我们现在却发现这个方案存在严重的问题。
现在我们有两个选择:不去考虑费用问题和复杂程度,重新设计解决方案,从而完美解决这些问题并降低安全风险,或者制定可行的政策。否则,将面临着比重新设计更大的损失,和成本损失。
在ATM的案例中同样也要考虑消费者的信心,不过大多数消费者都不太关心这些问题,虽然有些银行开始使用一次性生成的验证码来制止读卡器和信息获取问题,但是这些设备也很容易丢失。
ATM安全问题就像很多其他IT安全问题一样,并没有最好的解决方案。
【编辑推荐】