真实案件：信用卡是这样被盗刷的

看看你包里的信用卡正面有没有芯片？不管有没有有，下次换的新卡一定会有，因为据央行规定，自2015年1月1日起，各银行将不再新发行磁条卡。淘汰磁条卡、全面使用芯片卡是全球金融机构的一件大事，理论上将让卡片支付变得更便捷、安全。在整体换代完成前，咱来聊聊IC卡的一些黑历史（当然这也不完全赖卡）。

5个大盗，7000笔交易，40张傀儡信用卡

据连线报道，几个不法分子在法国盗刷了60万欧元，嫌犯于2011–2012年先后落网，他们在信用卡上做的手脚旋即水落石出。他们用来盗刷的信用卡不但塑料外观几可乱真，特殊处理后的芯片还会把随意输入的密码认做正确密码。失去了主观意识的“傀儡信用卡”就是他们的核心科技。

一直以来，芯片+密码两步认证体系存在一些理论上的薄弱环节——读卡器与芯片的信息交换。当买家插卡输密码的时候，读卡器会与芯片确认所输密码的正确性。聪明的小偷发现，只要拦截住这个请求，再代替原芯片回答读卡器不就行了？

他们还真做到了。动过手脚的芯片同样可以收到读卡器的“确认”请求，此时它会自动回复“正确”，无论输入的是什么数字。给这个流程打个比方：老师在课堂上提问，你小声说出了正确答案，结果坐第一排的二傻子站起来大声吼出了错误答案——老师被他唬住了，也觉得对！

法国犯罪分子共盗取了40张信用卡，制作出40张傀儡卡，共进行了超过7000笔刷卡交易，购买了大量的彩票和香烟。几千笔交易出现后，盗刷地点的规律终于被发现，“他们总是在相同的地点作案，这就是他们的破绽。”

X光下看个清楚

早在2010年，剑桥大学的安全研究院也露过这么一手，只是手法要笨拙得多。同样的，学者们在原芯片背后贴了个芯片，垂帘听政截取读卡器请求。这个装置被放在一个盒子里，有一本圣经那么大，在盗刷时还要配合笔记本上的攻击软件使用。