会不会被盗刷

近日，一段ETC卡被盗刷的视频在互联网科技上传播，引起多方关注。各家银行都在自己的车站做出了回应，就连交通部路网检查与应急管理中心也立即下发了《关于应对ETC银行联名卡被盗刷风险的紧急通知》。

这起恶性事件的起因是什么？什么会对卡造成伤害？仅仅是ETC不安全吗？下面从网络信息安全的角度来解释一下。

1.ETC是怎么被盗的？

ETC本身是交通部门为了更好的节省人力资源，方便购车者而开发设计的。ETC本身就是交通领域的专用密钥管理系统，按照upper空socket进行支付。用户必须在线给ETC充值。除非交通部门的钥匙被破译，而且交通部门门上的空插座里有机器设备，这种卡是刷不了的。即使被刷了，也是用户存的钱，不容易造成大的伤害。

但是ETC在营销推广的情况下发展缓慢，其他方式都有。一种方式是交通领域与银行合作出售。客户拥有一张主要用于交通领域的ETC卡和一张银行储蓄卡或xyk。汽车用的ETC卡不具备金融业的功能，只用于记账。卡的支付是根据相关的储蓄卡或xyk在透支卡中进行的。这种还必须接空插座，必须是交通部门配备的。这门课没有风险。

还有一种交通出行领域的二合一xyk，由银行发售。ETC卡本身也是yhk。除了ETC的upper空插座，其他支付方式也适用。

如果只有芯片卡必须插入才可以应用，那么别人是偷不到的。NFC流行之后，现在所有的yhk都适用闪付。所以如果有机器设备，可以申请支付，然后靠近闪付卡就可以盗刷了。

如果只是刷卡，用户不确定不能结账，但是钱不能刷。但银行确定默认设置300元以下无密码“小额保密面谈”服务。因此，出现了视频中界面。

网络视频中涉及的发卡行是广发银行。在其充值卡的官微号“中信xyk”中显示，该剧中的POS机已被查到是肇庆加油站的POS机。

理论上，POS机的管理方式比较严格，需要实名认证，但是如果被犯罪嫌疑人看到，已经扩散出去的POS机不太可能被很好的控制。

二、闪付的安全隐患

除此之外，ETC卡被推上了风口浪尖，还有中国银联2015年10月发布的小密面签审核服务项目。

小额保密面签只适用于中国银联芯片卡。用户在特定商户店铺使用带有“闪付”标识的中国银联芯片卡或适用于“中国银联快通”的手机支付机具设备进行300元及以下金额(人民币在300元以内，境外以当地金额为准)的买卖时，只需将银联芯片卡或“中国银联快通”移动设备靠近POS终端设备的磁感应区，一笔完成支付。在整个支付过程中，用户不需要输入支付密码或签名，yhk除外。除此之外，ApplePay、SamsungPay等新型移动支付方式也适用于小额免密免签。另外，只有与银行和中国银联合作的店铺才可以申请小额免密面签。

目前如果出现异常的免密免签交易，用户可以联系发卡行申请赔偿，任何双免交易导致的负面交易都可以得到赔偿。

这种闪付业务流程可以自己理解，以便更好更方便的选择免密码的功能，但免密码不代表可以验证。ApplePay和SamsungPay也有指纹识别认证，说明用户是内部人员。

闪付没有登录密码，相当于发起者和确定者都不需要用户。如果卡了，大家可以用POS机或者其他适合闪付的机器设备把钱转出来。这太可怕了。

更可怕的是，银行的这个业务流程是默认启用的，而不是默认关闭的。用户要独立打电话或者去银行柜台才能关机。

为了获得更好的订单量，银行拿用户的安全性开玩笑，默认为用户设置了启用免密支付的服务项目。用户面临风险。

ETC卡放在车上，防止用户成为总目标，而随身携带的卡也因为这样的非接触、非验证特性，非常容易成为总目标。

第三，销售单位的责任是解决方案。

这次ETC的恶性事件是闪付和少量保密，是银行默认为用户设置的。给出了交通部门上空插座以外的支付手段。而银行的主观因素只是为了达到目的，比如商品的流通，拿用户的资金安全开玩笑。

最后的处理方式是谁卖谁负责。已启用的业务流程默认设置不是用户指定的，如果出现问题，由银行承担责任。如果用户没有进行一定的支付(指纹识别、登录密码、短信等。)，用户可以随时随地取消，由此造成的损失将由发卡行或销售单位施压。

现在不仅仅是ETC和闪付卡的问题，人们日常使用的各种网上支付方式其实也没有那么安全。许多网上支付方式都是小额无密码支付。如果用户手机丢失，或者登录密码被拖库，很容易导致金融行业账户的重大损失。

马克思主义说:“100%的利润可以冒险，300%的利润可以践踏世界上所有的法律法规。”制度有漏洞，就要有人利用。

对于银行和互联网公司来说，要注意安全防范。他们不应该为了更好地完成日常任务而拿用户的安全开玩笑。对于用户来说，新技术应用的时候要多掌握一点，而传统没有坏处。

创作者:maomaobear|来自:iDoNews专栏