假卡黨用ATM偷錢 原來同呢款提款卡有關?

博客 12:00 2019/09/25

分享:

假卡黨用ATM偷錢 原來同呢款提款卡有關?

今年5月嘅時候,有ATM假卡黨喺香港出現,當時朋友whatsapp呢單新聞畀我嘅時候,反應大致上都係呢個:「ATM機咁唔安全㗎咩」。先講結論,大家真係唔使擔心,真係crack得到就唔會碌得20萬咁少啦,仲有今次出事嘅都係AEON卡,我估大部份讀者朋友都應該無,所以同大家真係無咩關係。不過作為case study,大家可能會問,點解剩係得AEON出事嘅呢?

【延伸閱讀】銀通ATM跨行免費提款?銀行唔宣傳全因錢作怪

由磁帶卡到晶片卡

首先就不得不提一吓磁帶卡同晶片卡。

如果大家有番咁上下banking age,會隱約記得由2012年至2014年開始當大家換ATM卡嗰陣,張ATM會由「只有磁帶」嘅stripe-card變為「既有磁帶又有晶片」嘅chip-(&-stripe-) card,「只有磁帶」嘅ATM卡銀行係唔會再發㗎喇。

翻查文獻,成個動作可以追溯到2011年6月1號一份名為Strengthening Security Controls for Automatic Teller Machine (ATM) Services嘅HKMA circular,入面寫到明:

The Task Force (on ATM Fraud Prevention) has reached a consensus that authorized institutions (AIs) offering ATM services should adopt chip-based ATM technology in order to enhance their security against ATM frauds […]

The AIs concerned are also expected to complete the card replacement process not later than end of March 2014 for debit cards…

所以喺2014年之後,晶片卡就全面上市喇。

咁點解Chip Card可以「enhance their security against ATM frauds」呢?

個原理好簡單,ATM提款一直採到雙重認證方法(即係2FA啦),嗰2個FA分別係what-you-have(即係你張卡)同埋what-you-know(即係個密碼),要hack你就要同時hack晒你2樣先得,所以就一直都有「複製假卡」加「針孔攝錄機」呢對犯罪孖寶兄弟嘅出現。

所以銀行同金管局一路都提醒大家,撳密碼嗰陣記住要遮住個num pad,確保唔會畀攝錄機影到;但係講到複製假卡,如果繼續用磁帶卡,咁就即係「有等如無」,因為磁帶本身並無加密技術,要複製你張卡,技術含量極低,基本上只有「唔畀你發現」呢個障礙需要突破,所以個體積做得夠細,就掂啦。

我估嗰舊就係磁帶讀卡器喇

而相反晶片卡就全球都暫時未有成功複製嘅案例,即係話你整得針孔攝錄機知道我密碼都無用,由於複製唔到張晶片,即係話要攞埋我張卡先得,即係一係偷、一係搶,難度高咁多,咁就去咗另一個技術層次啦。

一言蔽之,成單案就係針對AEON仲係用緊磁帶卡呢個漏洞嚟犯案啦。

【延伸閱讀】信用卡消費要留神 5個方法免被盜用

咁點解AEON仲有磁帶卡?

個理由好簡單,因為AEON根本唔係「銀行業條例」下嘅「認可機構(authorized institution)」,即係既唔係銀行,亦唔係有限制牌照銀行,更唔係接受存款公司;AEON本身係間財仔,受「放債人條例」監管,所以佢係同HKMA無關係㗎。

睇到呢度,大家個反應可能係,哇,好驚喎!咁又無嘢嘅,財仔有財仔嘅生存價值(例如no-show私人貸款,銀行唔做得㗎),此乃一;AEON咁大間嘢,亦都宣布會賠償畀苦主,此乃二;同時AEON亦都換緊晶片卡喇,今次只好怪自己動作唔夠快,此乃三啦。

咁既然都行晶片,點解銀行ATM卡仲有磁帶呢?

既然晶片係「加密技術」,咁就梗係剩係得「自己人」(即係JETCO同HSBC Group兩大Network)識得解密啦,咁有乜情況大家會想畀「非自己人」爆到張卡呢?

基本上有2個情況,1係攞着數,例如揸住張綠色銀行卡去惠康攞95折嗰陣(Credit card同ATM卡個磁帶技術一樣嘅啫),為咗確認你張卡合資格,同時唔畀啲收銀哥哥姐姐亂咁嚟,會先喺POS機碌一碌你張磁帶,對一對張卡頭6位個card BIN就知你張卡啱唔啱資格喇。

相同情況亦應用喺網上訂票然後碌卡攞飛一樣,因為磁帶唔係咩加密技術,成本亦都好平,咁就不失為一個你又方便我又平嘅solution喇。

第二個情況就係「海外提款」。當你一去到海外,唔係用JETCO/HSBC Network確認嘅機會就好高,佢哋兩個無share個decryption key畀對家嘅機會亦好高,咁對家點認張卡呢?咪就係磁帶咯~

所以如果偷到大家條磁帶加密碼,攞去海外提款就係出路之一,咁當然HKMA都唔係豬頭,睇番T-ME-1 Risk Management of E-banking嘅7.3.2(1)有段咁嘅字:

So long as the magnetic stripe is retained on a chip card to allow customers to use ATM services in locations outside Hong Kong that have not adopted chip-based ATM technology, the overseas ATM cash withdrawal capability for the chip card should be pre-set as deactivated.

呢個就解釋咗點解「海外提款」之前大家要預先activate喇。

 

【文章來源:華田銀行;已獲授權轉載。原題:銀行閑談 (49) — 從 ATM 假卡黨看 ATM 保安小知識】

【關於作者】
兒時夢想做i-banker,結果做了bank worker,還要是retail那種。過去在各大小銀行不同部門流徙,叫人借錢、催人還錢、審批貸款、出股票app、出借錢app、出信用卡、廣告策劃、銷售管理、分行佈點、生物認證、電子排隊、機器學習、敏捷開發,到現在還未安定下來。不懂財經、不懂經濟,只想談一下「銀行」這回事。

撰文 : Wallace Tin

欄名 : 華田銀行

緊貼財經時事新聞分析,讚好hket Facebook 專版