[新聞] 兩款APP 5秒竊取你的信用卡個資

http://www.cw.com.tw/article/article.action?id=5072515 作者：盧沛樺 2015-11-18 Web Only 兩款手機APP只要靠近感應式信用卡，就能讀取信用卡個資。 這件事情最近在香港引起恐慌，民眾群起土法煉鋼，用錫箔紙包住信用卡。 香港記者實測，任何人都可以下載這兩款APP，而且確實5秒之內就可以讀取信用卡個資。 當無現金交易的世界正成為多國政府與各家銀行追求的目標， 隨身包包裡的信用卡個資外洩風險也在急遽升高。 最近香港民眾正陷入長考：到底要將皮包裡的感應式信用卡棄置不用， 還是土法煉鋼般拿錫箔紙包裹信用卡，以防止重要個資外洩； 甚至有人建議銀行乾脆取消感應式付款的功能。 香港人的這股恐慌，起因於上個月中旬，香港部分銀行向持卡人發出提醒， 部分手機App靠近感應式信用卡，會讀取持卡人姓名、卡號、有效日， 甚至是交易紀錄等資料。 香港資訊科技商會榮譽會長方保僑向大眾示警，這類Apps若被不法分子使用， 可將盜取的信用卡資料，在一些資安保障較低的網站購物，然後轉售套現。 包括HKTVmall、日本樂天、Amazon及美心西餅等網站，只要有持卡人姓名、卡號 及有效日期，就能購物，不需要輸入驗證碼。 而會讀取信用卡個資的兩款手機App，是「Banking Card Reader」、「Cardtest」。 目前這兩款App僅在Android手機商店提供下載，任何人都能下載使用。 香港記者實測發現，打開這兩款App，不到五秒，就能輕易讀取信用卡內的個資。 並不是所有信用卡都在這波資料外洩疑雲名單之中，主要是內建NFC（近距離無線通訊） 功能的感應式信用卡，如MasterCard的PayPass、VISA的PayWave等。 經香港金管局調查，一共有七家發卡銀行的信用卡未符合金管局的安全要求， 包括持卡人姓名與交易紀錄可被非法讀取。金管局已下令涉事銀行回收信用卡。 七家銀行包括中銀香港、交銀香港、中信銀行（國際）、工銀亞洲、永隆銀行、星展（香 港）及大新銀行，其中有五家為香港中資銀行。 VISA國際發卡組織台灣區總經理麻少華指出，此次爭端主要是持卡人姓名外洩。 他說，香港政府在2012年規定，感應式信用卡線圈不可放入持卡人姓名， 避免遭有心人士讀取、盜用。他說，VISA一年前已強制規定銀行不可以放入姓名， 目前市面上流通含有姓名的是較早發行的舊卡。 業界人士則透露，一般銀行製卡要遵守國際發卡組織的規定， 但製卡廠未必完全埋單或有疏失。 諷刺的是，讓香港人心惶惶的讀卡App，卻一副置身事外的姿態。 讀卡App「Cardtest」在開發說明中這麼寫著：「我出於好奇設計了這款demo app， 為的是了解內建NFC的信用卡會提供多大程度的資料給一個隨機的讀卡App。 結果顯示，感應式信用卡被讀取的資料就跟你看到的信用卡正面一樣多。」 另一款「Banking Card Reader」則強調自己不能用於支付。 這起風波暫時還不會落幕。 中銀直到這個中旬，才要為所有受影響的信用卡戶更換不具備感應式功能的信用卡； 明年1月，才能提供新版感應式信用卡。香港網站已出現不少教民眾自保的手段， 例如拿錫箔紙包覆信用卡片。 數位金融革命，意外讓錫箔紙業因禍得福。 -- 好奇去下載了APP來試用，真的可以讀到卡號跟有效日，持卡人姓名則不一定有， 還有一些不知什麼用途的ID跟代碼，不過為此包錫箔紙有點好笑 --
※ 批踢踢實業坊(ptt.cc), 來自: 61.219.255.70
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1447902335.A.B58.html

推 blueberrypie: 感覺NFC是關鍵[email protected]@?! 11/19 11:06

推 bignoob: 卡片裡面沒加密的東西有哪些才是關鍵 11/19 11:07

推 blueberrypie: 我也下載來玩玩看好了~ 11/19 11:09

→ flypenguin: 不意外就是… 要全面加密的話刷卡機建置成本很高 11/19 11:10

推 blueberrypie: :(~我的手機什麼都讀不出來QQ~ 11/19 11:11

推 snownow: 所以說就是...打開NFC 在人多時隨機貼近別人包包/口袋? 11/19 11:32

推 blueberrypie: (題外話，我有開NFC阿QQ) 11/19 11:42

→ blueberrypie: 不知道為啥就是讀不到=_=~(是手機問題嗎?) 11/19 11:43

推 blueberrypie: 突然讀出來了~哈哈。 11/19 11:46

推 blueberrypie: 真的可以看到卡號、有效日期、發卡組織等等~XD 11/19 11:49

推 a0913: 手上一堆感應卡@@ 11/19 11:56

→ lookjason: iPhone有這個問題嗎？ XDDDDD 11/19 11:58

推 claymath: 愛瘋的NFC還沒開放給外面的程式使用 11/19 12:06

推 Go2: 目前iPhone的NFC只給apple pay 使用 11/19 12:29

→ lookjason: 原來如此 11/19 12:29

推 siopp: 這不是問題吧 是拿android有NFC的才能去讀取別人的信用卡 11/19 12:37

→ siopp: 資料 11/19 12:37

→ ytls: 這些app 會不會蒐集資料，然後… 11/19 12:38

推 cityport: Apple Pay上的卡號限iPhone使用..跟信用卡號碼不一樣 11/19 12:43

→ cityport: 用信用卡註冊Apple Pay..銀行會另外指派一組卡號給手機 11/19 12:44

推 fayfaywow: Card test這個程式我剛剛試過，我手上JCB的讀不到，Mas 11/19 12:45

→ fayfaywow: ter的不會顯示全部卡號。還有很多code... 11/19 12:45

→ fayfaywow: （這個程式只說可以支援v, m, 還有美國運通的卡） 11/19 12:45

→ fayfaywow: 但Banking Card Reader... 我手上的JCB, Master, 開啟 11/19 12:45

→ fayfaywow: 後皆可以讀到16位卡號與實際有效期……但沒有持卡人資 11/19 12:45

→ fayfaywow: 訊 11/19 12:45

→ fayfaywow: 好像還有另一個app也有類似的功能，但我沒測試 11/19 12:45

→ cityport: 所以Apple Pay完全不會有這篇新聞中的問題 11/19 12:47

→ fayfaywow: 補充，我趁吃飯時間測試時是拿一隻有NFC的手機，已把網 11/19 12:47

→ fayfaywow: 絡與手機訊號都關閉，然後才開NFC與app測試…… 11/19 12:47

→ cityport: 安卓Pay是否也是同樣使用虛擬卡號..則還請用過的人補充 11/19 12:48

推 aoc902001: 這是舊新聞？上面app很早就有了。 11/19 13:01

推 snownow: 可能是最近才有人試圖用此app犯罪？因為只要有這個，你完 11/19 13:20

→ snownow: 全可以利用此功能在人潮多的地方不著痕跡的偷人信用卡 11/19 13:21

推 bignoob: 重點不是在讀取器 是在卡上資訊沒加密 11/19 13:45

→ bignoob: 讀取器可以用多種方式建置 APP只是其中一種 11/19 13:46

推 ithinksoiam: 請問若因此被盜刷 是算信用卡公司的還是持卡人的阿 11/19 13:57

→ ytls: "盜刷"就列"爭議款"，銀行會處理 11/19 14:01

→ alex1973: 元大愛金 JCB 藝術卡面, 竟然有紀錄持卡者姓名 :( 11/19 14:05

→ alex1973: 回來把所有感應卡都拿來讀讀看, 看那些卡可以直接讀出姓 11/19 14:07

→ alex1973: 名的, 以後就少帶出門好了 11/19 14:09

推 Go2: 有推薦的安卓NFC app 嗎 11/19 14:29

→ alex1973: https://play.google.com/store/apps/details?id=com.gi 11/19 14:49

→ alex1973: thub.devnied.emvnfccard 11/19 14:50

→ alex1973: 我刻意不縮網址, 請自己把兩段網址連起來. 以證明這是從 11/19 14:50

→ alex1973: Google Play 下載的. 這 app 只要求 NFC 權限, 沒有其他 11/19 14:51

→ alex1973: 奇奇怪怪權限, 所以應該不會有卡號被傳出去的風險 11/19 14:52

推 Jacky9527: 用防側錄錢包 ？？ 11/19 15:02

推 wenchien0703: 實測元大鑽金VISA愛金JCB VISA沒持卡人姓名但JCB有 11/19 15:57

推 silverkymco: 皮夾要準備鋁箔紙包信用卡了 11/19 21:27

推 king1412: 兩張以上感應卡重疊放就感應不出來了 11/19 21:35

→ alex1973: 樓上說的方法我中午就試過了, 我是不曉得我的手機還有實 11/19 21:42

→ alex1973: 驗用的卡是不是特例, 我把凱基悠遊聯名卡和元大愛金放在 11/19 21:43

→ alex1973: 一起, 結果無論是凱基這面靠近手機還是元大那面靠近手機 11/19 21:43

→ alex1973: 結果手機永遠都感應到凱基, 我一定要把凱基的拿走開, 手 11/19 21:44

→ alex1973: 機 NFC 才感應的到元大愛金 11/19 21:45

→ alex1973: 這該說凱基卡片的感應天線太強了嗎 ? 11/19 21:47

推 Go2: 我華南紅卡跟kgi鈦金秒感應，元大卡就算把殼拿掉也用不 11/19 21:52

→ Go2: 出來。。。 11/19 21:52

→ luoren: 先離線沒用喔 AAP要做到離線暫存資料 有上線再丟出很簡單 11/19 23:12

→ FWade: 我是用banking card reader測試,發現除了國泰現金回饋御璽 11/20 07:46

→ FWade: 卡讀不到之外,其他都可以讀到資料 11/20 07:46

推 silverkymco: 記者還不來抄 11/20 09:01

→ simongarden: 離線跟權限是防君子，實測實在是很有勇氣 11/20 09:13

推 shutdown: 再加點香料，可以做烤機 11/20 11:58