信用卡实体传输过程中的安全隐患
中国工商银行牡丹卡中心居然也使用某民营快递寄送信用卡。当然,这是市场化的好现象。不过,看看这个寄送的信封,还是有一定安全隐患的。这一隐患与民营的性质无直接关系,而与具体的技术实现相关。
隐患一:使用普通信封邮寄信用卡,不需拆封,用一支铅笔(或一张复写纸)加一张白纸就可以把卡号、有效期、姓名拼音拓印出来了(很多人小时候都拓印过硬币吧)。而在很多境外网站消费,不但不需要密码,甚至连“后三码”(CVC 或 CVV)也不需要(这不是漏洞,是特性)。因此,邮件路由上的所有经手人都可以轻松得到这些信息。待持卡人开卡之后,使用其卡面信息恶意消费。
隐患二:信封上没有任何戳记,快递单和信封通过一个订书钉钉了一起。这简化了中间人攻击的流程。拆开信封,获取重要信息(“后三码”、持卡人中文姓名、证件号码、单位、电话等)之后,如果不能将信封复原,只需要换用新的信封,和快递单钉了一起即可,不需要伪造邮戳之类。使用办公级的打印设备伪造银行信封并非难事,而获得了持卡人的详细信息之后,可以从事更多的不法行为。
因此,在收到用普通信封邮寄来的信用卡时,建议大家检查信封上有无拓印痕迹,订书钉有无重钉痕迹。如果有,务必谨慎开卡。为解决信用卡实体传输过程中的上述隐患,一种可能的思路是使用一经拆开难以复原的封装,并对信用卡凸印文字使用硬质材料遮掩。当然,这些都需要成本的。不过技术的约束永远在第二位,事在人为。
)。“査”是一个不常用的 GBK 汉字,但是发件人使用的 Foxmail 客户端生成的 MIME 消息中,标称的 charset 却写的是默认的 GB2312(严格地说也算 bug)。于是在我的客户端里,“査”字(96CB)没有被当作 GBK 正确解码,它的第二字节(CB)与“老”字(C0CF)的第一字节(C0)结合,恰好构成了“死”字(CBC0)。
