安全領域不存在最佳解決方案?
聯邦銀行(澳大利亞金融服務供應商)出版過這樣一篇名為“ATM卡信息讀取和PIN號碼獲取指南”的報告,報告指出,信用卡信息讀取技術主要是通過盜取ATM卡背面磁條的數據來進行的,用于讀取信用卡磁條信息的設備和卡片的大小差不多,通常會在制造ATM的工廠在ATM機的上面或者旁邊安裝這種讀卡器。
然后詐騙者會安裝另一種設備來獲取與用戶信用卡相關的PIN號碼,在強光的照耀下,可以發現ATM的鍵盤上安裝有這種設備,或者在發生器和屏幕的旁邊,也就是說,可能在機器的任何位置。
該報道還提供了被安裝了讀卡器設備的ATM機器的照片,令人驚訝的是,這些設備看起來就像ATM的一部分一樣。很難從視覺上判斷你插入信用卡的設備是另外添加的。PIN號碼的獲取設備也是這樣,大部分PIN號碼獲取設備都是及其隱蔽的,甚至有可能使用偽造鍵盤替換真實鍵盤來獲取數據。
這些犯罪份子通常會在深夜或者清晨的時候來獲取讀卡器的信息。
那么對于管理這種ATM機有何建議呢?其中最關鍵的建議就是:了解ATM。
當然,這是個不太好的解決方案,因為那些制作ATM的人按理來說,應該是仔細和勤奮的,雖然這只是理想。
其次,這些制造ATM的人要解決的一個基本問題就是設計缺陷問題,如果不能輕而易舉辨認出ATM是否被修改過,那么即使是最勤奮的ATM看守人都可能導致安全泄漏問題。
這里有一個典型的風險管理問題:雖然已經在廣泛運用一種解決方案,但是我們現在卻發現這個方案存在嚴重的問題。
現在我們有兩個選擇:不去考慮費用問題和復雜程度,重新設計解決方案,從而完美解決這些問題并降低安全風險,或者制定可行的政策。否則,將面臨著比重新設計更大的損失,和成本損失。
在ATM的案例中同樣也要考慮消費者的信心,不過大多數消費者都不太關心這些問題,雖然有些銀行開始使用一次性生成的驗證碼來制止讀卡器和信息獲取問題,但是這些設備也很容易丟失。
ATM安全問題就像很多其他IT安全問題一樣,并沒有最好的解決方案。
【編輯推薦】
