文/maomaobear

最近几天，一段ETC卡被盗刷的视频在互联网上传播，引发了各方的关注。甚至引发了恐慌，笔者的ETC绑卡银行人工服务根本无法打进去。

各个银行分别站队澄清，甚至交通运输部路网监测与应急处置中心也立即下发了《关于应对ETC银行联名卡存在被盗刷风险的紧急通知》。

最近一段时间，特别是Apple Pay入华以后，现在新办理的银行卡几乎都支持闪付功能，而且基本都是小额免密码的。当闪付与ETC结合起来，就有了今天我们看到的视频。

这次事件到底是怎么回事？哪些卡会受到影响？不安全的仅仅是ETC吗？我们从信息安全的角度来做个解读。

一、ETC盗刷的真相

ETC本身是交通部门为了节省人力，方便车主开发的。ETC本身是交通行业专用的密钥体系，通过空中接口来完成支付。而用户是要给ETC里面充值的，这种卡除非破解了交通部门密钥，同时有交通部门空中接口的设备，否则是无法盗刷的，即使盗刷，刷的也是用户存进去的钱，不会有太大危害。

但是ETC在推广的时候逐渐发展出来其他模式，一种是交通行业与银行联合发行，客户持有一张交通行业单用途ETC卡和一张银行借记卡或贷记卡，车辆上使用的ETC卡不具备金融功能，仅仅用来记账，卡的支付通过关联的借记卡或者贷记卡，信用卡完成。这一种也需要空中接口，需要交通部门设备。这种也没有危险。

还有一种是交通行业与银行发行的二合一卡片。ETC卡本身也是一张银行卡，除了ETC的空中接口，也支持其他方式的支付。

如果只是芯片卡，必须插入才能使用，那么别人也无法盗刷，偏偏NFC流行以后，现在银行卡都是支持闪付的，这样只要有设备，接近卡就可以盗刷了。

如果仅仅是盗刷，刷了用户不确认无法结账，钱还是刷不走，而偏偏银行又给客户默认开通了300元以下的小额支取免密码的“小额免密面签”服务。于是就发生了视频中画面。

这种盗刷只有金额限制，没有次数限制，把你的钱刷空是轻而易举的。

视频中涉及的发卡行是广发银行。在其信用卡官方微信号“广发信用卡”中表示，此片中出现的POS机已查出是云浮加油站POS机。

理论上POS管理是严格的，实名的，有规定的，但是如果被犯罪分子盯上，已经发出去的POS机想要完全控制住是不可能的。

所以，办理了二合一ETC卡的用户，只要“小额免密面签”服务没有中止，就一直处于危险之中。

二、闪付的安全问题

这次与ETC卡同时被推上风口的还有银联在2015年10月推出的小额免密面签服务。

小额免密面签只适用于银联芯片卡，当持卡人使用带有“闪付”标识的银联芯片卡或支持“云闪付”的移动支付设备，在指定商户进行300元及以下金额的交易时（境内300元人民币，境外以当地限额为准），只需将银 联芯片卡或“云闪付”移动设备靠近POS终端感应区，一挥即可完成支付。支付过程中，持卡人无需输入密码、无需签名，除了银行卡之外，此外，Apple Pay、Samsung Pay等新型移动支付方式，也都适用于小额免密免签，同时必须是与银行、银联合作的商家才可以使用小额免密面签功能。

目前，异常的免密免签交易，持卡人可以在发现异常后联系发卡银行申请补偿，因双免交易产生的否认交易，都可以得到赔付。

这种闪付业务为了方便采用免密码功能本身可以理解，但是免密码不等于可以不认证。Apple Pay、Samsung Pay好歹还有一个指纹可以验证，表明使用者知情。

闪付又没有密码，等于发起方和确认方都不需要持卡人，只要卡在，任何人就可以用支持闪付的POS机或者其他什么设备把钱转走，这太可怕的。

更可怕的是银行这项业务是默认开通的，而不是默认关闭，用户需要单独打电话或者到柜台才能关闭。

银行为了业务量，拿用户的安全开玩笑，默认给用户开通免密支付的服务。用户就处于危险之中。

ETC卡因为放在车上，远离持卡人成为目标，而带在身上的卡因为这种非接触、非认证的特性也很容易成为目标。

在公交卡时代，就有人带着打卡机去公交车上溜达，一元一元的刷公交卡的钱。而当NFC闪付的卡流行以后。这些人就可以300元，300元的刷了。

一趟地铁下来成为富豪，以现在电信诈骗的洗钱力度，在用户发现投诉，相关机构追查之前，钱早就没有了。

三、发行部门担责是解决办法

这次ETC事件，是银行默认给用户开通的闪付和小额免密。给了交通部门空中接口以外的支付手段。而银行的动机无非是完成任务，譬如发卡量一类的东西，拿用户的资金安全开玩笑。

解决的办法是谁发行谁担责任，用户没有要求开通的业务默认开通，出了问题就让银行来担责任。用户未作确认的支付（指纹、密码、短信等），用户可以随时取消，造成损失都由发卡行或者发行部门来负担。

现在不仅仅是ETC、闪付卡的问题，我们日常使用的各种互联网支付手段其实都不那么安全。很多网络支付工具小额也是免密码的。如果用户丢了手机，或者密码被撞库，很容易造成金融账户的严重损失。

前一段很流行的快捷支付也是如此，在盗取个人信息容易的情况下，个人信息泄露，不知不觉钱被盗走。

马克思说：“有100%的利润可以挺而走险，有300%的利润，可以践踏人间一切法律。”只要漏洞存在，就一定有人去利用。

对于银行、互联网公司来说，要有安全意识，不能为了自己任务拿用户的安全开玩笑。而对用户来说，新技术到来的时候多了解一点，保守一点没有坏处。