信用卡实体传输过程中的安全隐患

2010/01/22 | 13:13 | 分类：生活空间 | 标签：信用卡漏洞邮件 | 343次阅读

　　中国工商银行牡丹卡中心居然也使用某民营快递寄送信用卡。当然，这是市场化的好现象。不过，看看这个寄送的信封，还是有一定安全隐患的。这一隐患与民营的性质无直接关系，而与具体的技术实现相关。

　　隐患一：使用普通信封邮寄信用卡，不需拆封，用一支铅笔（或一张复写纸）加一张白纸就可以把卡号、有效期、姓名拼音拓印出来了（很多人小时候都拓印过硬币吧）。而在很多境外网站消费，不但不需要密码，甚至连“后三码”（CVC 或 CVV）也不需要（这不是漏洞，是特性）。因此，邮件路由上的所有经手人都可以轻松得到这些信息。待持卡人开卡之后，使用其卡面信息恶意消费。
　　隐患二：信封上没有任何戳记，快递单和信封通过一个订书钉钉了一起。这简化了中间人攻击的流程。拆开信封，获取重要信息（“后三码”、持卡人中文姓名、证件号码、单位、电话等）之后，如果不能将信封复原，只需要换用新的信封，和快递单钉了一起即可，不需要伪造邮戳之类。使用办公级的打印设备伪造银行信封并非难事，而获得了持卡人的详细信息之后，可以从事更多的不法行为。
　　因此，在收到用普通信封邮寄来的信用卡时，建议大家检查信封上有无拓印痕迹，订书钉有无重钉痕迹。如果有，务必谨慎开卡。为解决信用卡实体传输过程中的上述隐患，一种可能的思路是使用一经拆开难以复原的封装，并对信用卡凸印文字使用硬质材料遮掩。当然，这些都需要成本的。不过技术的约束永远在第二位，事在人为。