對大多數(shù)銀行客戶來說，ATM（自動取款機）是一個檢查賬戶、取現(xiàn)金的安全場所。但漸漸地，對不警覺客戶而言ATM正變成一個詐騙陷阱。例如今年2月在美國波士頓，3人因向美洲銀行（Bank of America）和國民銀行（Citizens Bank）所屬的ATM里植入假冒的讀卡器而被警方抓捕。在被逮捕前，他們累計獲得的不義之財高達137 000美元。

據(jù)專家介紹，把假讀卡器植入到ATM里以采集銀行卡數(shù)據(jù)的詐騙手段被稱為 “卡片瀏覽（skimming）”，這種詐騙手段在美國以及世界各地都在快速增長。據(jù)SecurityCurve咨詢公司的創(chuàng)始人Diana Kelley稱，對全球的銀行和消費者而言，ATM卡片瀏覽每年導(dǎo)致的損失大約為10億美元。

Javelin Strategy & Research是一家金融服務(wù)分析和咨詢機構(gòu)。該機構(gòu)四月的一份報告顯示，在美國，所有欺詐受害者中有10％的人曾在假冒的ATM上提取過現(xiàn)金，結(jié)果23％受害者成為了其他金融機構(gòu)的客戶。Javelin的研究分析師Robert Vamosi表示，在美國，近20％欺詐受害者的PIN（個人識別號）被盜。

先進的ATM卡片瀏覽設(shè)備

詐騙專家表示，雖然過去5年一直存在著卡片瀏覽問題，但現(xiàn)在這些設(shè)備已經(jīng)變得更加精密和難以察覺了。僅在美國就有超過425000臺ATM可以成為罪犯的目標，他們可以在不同地點的各種ATM上試試自己的運氣。

FICO（Fair Issac Corp）是一家提供FICO信用評分以及欺詐檢測產(chǎn)品和服務(wù)的公司，該公司的高級欺詐解決方案總監(jiān)Michael Urban說，“從制造或者購買的角度來看，ATM卡片瀏覽設(shè)備都比過去更為先進，這也使得用戶更難辨別這些設(shè)備。罪犯還使用了和ATM制造商相同的油漆和表面加工。”此外，他補充說，“現(xiàn)在許多罪犯通過藍牙或GMS手機信號來傳輸所盜竊的數(shù)據(jù)，而不必回到ATM處去獲得存儲的數(shù)據(jù)”。

PG Silva咨詢公司的首席咨詢師Jerry Silva同意上述的觀點，“罪犯是根據(jù)ATM的顏色來進行復(fù)制的。即使整個外觀發(fā)生了變化，消費者也很難區(qū)分出來”。

SecurityCurve公司的Kelley表示，一款優(yōu)質(zhì)的卡片瀏覽器（skimmer）的價格大概在5000到8000美元之間。現(xiàn)在的許多卡片瀏覽器都有卡片讀取器和重疊的鍵盤，這使得卡片數(shù)據(jù)和PIN都可以被獲取。另外，罪犯也可以利用一個隱藏的攝影機來窺視消費者所輸入的安全密碼。咨詢師們表示，不管罪犯將目標鎖定在哪個地方，他們都更趨向于攻擊最常見的ATM，但實際上所有類型的ATM都存在著風險。

銀行和ATM的銷售商正嘗試各種方法來阻止卡片瀏覽，比如將商業(yè)廣告放在ATM上顯示以提醒消費者關(guān)于卡片瀏覽的事情、向鍵盤和讀卡器添加傾斜角使得卡片瀏覽器更難安裝，或者添加傳感器以檢查ATM機是否裝有其他設(shè)備并向銀行員工發(fā)送警報。另外，還有在物理上起作用的“振動（jitter）”技術(shù)，它能使卡片在進入讀卡器時發(fā)生抖動，從而使得卡片瀏覽設(shè)備更加難以讀取卡片的信息。但是，一些專家表示振動技術(shù)并不是一個全方位的防護措施。

ATM卡片瀏覽保護

除了反卡片瀏覽技術(shù)外，金融機構(gòu)還可以采取以下措施來保護ATM以及客戶免受來自卡片瀏覽器的攻擊：

1. 每天對ATM進行一次物理檢查。Silva說：“最佳的實踐是，每當ATM周圍擠滿了人，就進行一次物理檢查”。如果卡片瀏覽器已經(jīng)安裝在你或者你競爭對手的ATM上，采取這一措施就顯得尤為重要了。FICO的Urban說：“你需要增加檢查次數(shù)，并派人每天外出對ATM檢查幾次，包括下班后和周末。罪犯會考察每一個他們即將下手的地點，如果他們發(fā)現(xiàn)這個地點加強了檢查，便可能會另選其他的目標。雖然這是一個技術(shù)含量比較低的解決方案，但它往往行之有效?！?/P>

2. 加強ATM外觀的標準。Urban說：“ATM視覺標準的采納將會使所有ATM看起來都應(yīng)該是一樣的?！彼瑫r指出，分行的經(jīng)理可以在這類ATM里面加入一些東西，但其他的ATM則沒有加入，這樣它們看起來顯得略為有些不同。他說：“一間分行決定在ATM上設(shè)置一個型錄架（brochure holder），另一個分公司則沒有安裝這樣的設(shè)置，這將使得ATM的外表五花八門。你希望它們的標準盡量趨向一致，這樣你就可以判斷ATM是否裝有卡片瀏覽器了?！?/P>

3. 確保PIN輸入設(shè)備符合支付卡產(chǎn)業(yè)安全標準委員會（Payment Card Industry Security Standards Council，PCI SSC）的標準，該委員會管理著PCI數(shù)據(jù)安全標準。PCI SSC還有針對商家的指導(dǎo)方針：《卡片瀏覽預(yù)防：商家的最佳做法》，其中包含了可以幫助商家精確地找到漏洞的自我評價表格。

4. 查找客戶賬戶的異?；顒印rban說：“雖然欺詐檢測軟件不是萬無一失的，但它可以檢測出與欺詐交易相關(guān)的一些行為。”例如，一個客戶總是在本地使用自己的借記卡或信用卡，突然間在巴西做出一次大規(guī)模的采購，這時該軟件就可以向銀行發(fā)起提醒，這可能會延遲交易，直到其合法性得到驗證為止。Urban表示，客戶最新的聯(lián)系信息在迅速核實交易的合法性或停止欺詐行為方面至關(guān)重要。銀行賬戶監(jiān)控也需要經(jīng)常更新自己的客戶數(shù)據(jù)。

5. 與其他銀行的安全人員建立工作關(guān)系。Urban表示，電子安全工作組的深入?yún)⑴c、甚至與本地其他的銀行臨時合作，都可以在卡片瀏覽器竊取各自的ATM數(shù)據(jù)時，幫助銀行安全管理人員。

Chip和PIN銀行卡

卡片瀏覽問題的最終解決可能要借助于智能卡技術(shù)（Chip和PIN）。該芯片攜帶數(shù)據(jù)但沒有磁條，可在世界范圍內(nèi)廣泛使用。歐洲各國正在過渡到Europay、MasterCard和Visa (EMV)智能卡規(guī)范，該規(guī)范需要一個微型芯片和磁條來完成交易。當EMV成為歐洲的標準時，一張只帶芯片數(shù)據(jù)的克隆（cloned）卡將被拒絕，這將于2011年開始實施。根據(jù)Visa Europe的調(diào)查數(shù)據(jù)，歐洲的4000多家銀行和支付服務(wù)供應(yīng)商已經(jīng)開始發(fā)行2.5億張符合Visa EMV標準的Chip和PIN銀行卡，并將同時對數(shù)百萬臺讀卡器進行升級。

然而，美國在近期內(nèi)并不會緊跟歐洲的腳步。

Silva表示，“ATM欺詐的損失還沒有大到讓美國銀行重新發(fā)行銀行卡和重新部署取款機的地步。因為銀行必須對每臺ATM更換讀卡器、更換每個POS設(shè)備和軟件，以及所有的銀行卡，同時還要對消費者進行培訓(xùn)。總之，與歐洲不一樣的是，詐騙的損失還沒有大到讓美國銀行去做此類調(diào)整?！?/P>

【編輯推薦】

1. 黑客使用信用卡入侵ATM詳細報道
2. 近期安全回顧:云計算有風險ATM機成駭客新寵