真实案件告诉你，芯片信用卡是怎样变成 “傀儡信用卡” 的

看看你包里的信用卡正面有没有芯片？不管有没有有，下次换的新卡一定会有，因为据央行规定，自 2015 年 1 月 1 日起，各银行将不再新发行磁条卡。淘汰磁条卡、全面使用芯片卡是全球金融机构的一件大事，理论上将让卡片支付变得更便捷、安全。在整体换代完成前，咱来聊聊 IC 卡的一些黑历史（当然这也不完全赖卡）。

5 个大盗，7000 笔交易，40 张傀儡信用卡

据连线报道，几个不法分子在法国盗刷了 60 万欧元，嫌犯于 2011 – 2012 年先后落网，他们在信用卡上做的手脚旋即水落石出。他们用来盗刷的信用卡不但塑料外观几可乱真，特殊处理后的芯片还会把随意输入的密码认做正确密码。失去了主观意识的 “傀儡信用卡” 就是他们的核心科技。

一直以来，芯片+密码两步认证体系存在一些理论上的薄弱环节——读卡器与芯片的信息交换。当买家插卡输密码的时候，读卡器会与芯片确认所输密码的正确性。聪明的小偷发现，只要拦截住这个请求，再代替原芯片回答读卡器不就行了？

他们还真做到了。动过手脚的芯片同样可以收到读卡器的 “确认” 请求，此时它会自动回复 “正确”，无论输入的是什么数字。给这个流程打个比方：老师在课堂上提问，你小声说出了正确答案，结果坐第一排的二傻子站起来大声吼出了错误答案——老师被他唬住了，也觉得对！

法国犯罪分子共盗取了 40 张信用卡，制作出 40 张傀儡卡，共进行了超过 7000 笔刷卡交易，购买了大量的彩票和香烟。几千笔交易出现后，盗刷地点的规律终于被发现，“他们总是在相同的地点作案，这就是他们的破绽。”

X 光下看个清楚

早在 2010 年，剑桥大学的安全研究院也露过这么一手，只是手法要笨拙得多。同样的，学者们在原芯片背后贴了个芯片，垂帘听政截取读卡器请求。这个装置被放在一个盒子里，有一本圣经那么大，在盗刷时还要配合笔记本上的攻击软件使用。

由于卡片还要用作呈堂证供，鉴证组还不能对卡片进行破坏性拆解，只能在 X 光下粗粗窥见卡片的内部结构，证实了傀儡芯片的存在。鉴证人员随后反向破解了卡片在被读取时的计算活动，发现傀儡芯片的工作原理与剑桥大学的实验原理完全一致，只不过傀儡信用卡比当年的实验版本要精致得多——只比真信用卡厚那么一丁点。

鉴证人员称：“（因为厚度略大于正常信用卡）把仿制卡塞进读卡器有点困难，但还不至于让人起疑心。”

剑桥大学五年前做完实验也把发现告知了国际芯片卡标准化组织（EMVco）和英国信用卡协会，但两个组织都没有把警示太当回事，剑桥如今可以昂首说出那句话：“早跟你说了，咋就不听劝呢？” 剑桥大学在采访中表示，这种攻击是意料之中的，但对于盗用者的仿制手艺也是无比惊叹。

哪怕风险在，还是要换代

细思极恐之余，IC 卡的换代脚步未曾停歇，全球各国在这事儿上还没少花钱，光是美国的发卡行就已经花了好几亿美金；我国 2015 的换卡量将达到 8 亿张，以 10 元一张的成本计算也是好几亿美金。巨量的投入来自全球金融机构的共识——IC 卡是更好的刷卡方案，《新浪财经》说它好在这里：

IC 卡安全性高，卡内敏感数据难以被复制，而且 IC 卡不仅具有普通磁条银行卡所有的金融功能，还具备电子现金账户，支持脱机小额支付，可以使用非接触界面，实现即刷即走的快速支付和智能卡手机支付。

新卡自有新人盗，把卡揣好是正道。

题图：维基百科

插图：ccfeesolutions