快捷支付惊天漏洞！ 别以为不告诉别人银行卡密码就安全！
共 25067 浏览 12 回帖&&
发帖: 1 篇
在线时长: 0 小时
快捷支付惊天漏洞！ 别以为不告诉别人银行卡密码就安全！
现在支付宝和银行搞了一种合作，名叫快捷支付。这个快捷支付存在非常严重的漏洞，它不需要你开通网银也不需要知道你银行卡的密码就可以用你银行卡里的钱进行支付。它所需要的只有用户的身份证号 银行卡账号以及办理银行卡时在银行预留的手机号所接收的验证码，有了这三样就可以完成付款，不管你是谁。
那么盗贼只要得知了他人的身份证号 银行卡号 拿到他人的手机或手机卡便可以用他人的姓名轻松开通支付宝的快捷支付从而把他人银行卡里的钱据为己有！（而且即便你拥有支付宝的账户和密码且设置了各种安全措施也没用！！由于一个身份证号可以开通多个支付宝，所以他人可以用你的姓名和身份证号再开通一个新的支付宝账户绑定快捷支付来花你钱！），而且被盗整个过程你不会收到任何提示！！
更让人无奈的是快捷支付是无法“真正”关闭的，连银行都关不了！在这个信息各种泄露的时代 身份证号 银行卡号已经不算什么秘密 那么也就是说如果你的手机或手机卡一旦被他人用个几秒钟或者出现了换号，丢失，过期，被他人复制手机卡，被他人补办（现在手机卡没有完全实名制，他人只要去营业厅回答几个问题就可以补办手机卡）等任意一种情况，他人就可以随时替你注册支付宝账户开通快捷支付而盗取里面所有资金！ 而且你无法杜绝这些可能！！
我不禁要问，既然可以这样，那么我们还设置什么银行卡密码呢？这真的太可怕了！可这就是事实！
而最最可怕的是决大多数人并不知道这一点，手机或手机卡偶尔还会被别人用，或者出现换号，丢失，总以为没有告诉别人银行卡密码，没有开通网银自己银行卡账户的钱就绝对安全，而事实并不是如此！现在因为快捷支付被盗的用户已经很多，如不促其改善弥补漏洞，结果必将极其可怕！！！
以下是我与支付宝客服的对话：（有助于你更好地看清快捷支付的漏洞！）
访客 20:37:42
怎么防止他人开通我银行卡的快捷支付呀？我的身份证号 银行卡号好多人都知道厄 全靠手机来保证？拿手机或手机卡丢了怎么办？
云在线-03 20:38:00
您说的这个问题，建议您是在银行开通手机短信提示，如果卡里有金额变化的话，会短信提示您
访客 20:38:52
怎么防止他人开通我银行卡的快捷支付呀？我的身份证号 银行卡号好多人都知道厄 全靠手机来保证？那手机或手机卡被别人拿走或者万一丢了怎么办？
云在线-03 20:38:38
这个没办法防止，您也说您，您身份证，什么的很多别人都知道。建议您保管好您的手机
访客 20:39:35
就怕手机丢了呀 银行卡账户安全全靠手机？
访客 20:39:58
身份证号 银行卡号 经常银行转账要用呀
访客 20:40:31
那我银行卡密码不一点都没用了？
云在线-03 20:40:05
您身份证别人知道，就可以注册账户，如果别人有您银行卡，也有您手机的话，确实是可以开通快捷支付的
访客 20:42:49
也就是说身份证号 银行卡账号 别人知道
访客 20:43:02
我的银行卡安全全靠手机？
访客 20:43:53
别人要在借我手机用一下 或者我手机卡换号或者丢失 别人就可以替我开通快捷支付花我钱？
云在线-03 20:43:27
您说的这个情况把，相当于就是全部信息别人都用了，这样子确实是危险
访客 20:45:07
那也太不安全了吧？这属于快捷支付的漏洞吧？完全不用我的银行卡密码
云在线-03 20:45:14
访客 20:46:19
这。。。。。
访客 20:46:33
那我有办法避免吗/
访客 20:46:52
你们没有注意到这个漏洞吗？
云在线-03 20:46:20
因为很少有人全被偷了
访客 20:47:07
为什么不完善呀？
云在线-03 20:46:44
我再想一下哈
云在线-03 20:46:52
别人可以注册支付宝，用您的身份信息
云在线-03 20:46:57
然后开通快捷支付
访客 20:47:49
哦，我就怕这个
云在线-03 20:47:22
开通快捷支付的时候是需要身份证和银行卡卡号，还有需要银行预留号码，如果您银行预留号码和您现在的号码是一直的话，就可以开通快捷支付了
云在线-03 20:47:24
然后就可以付款了
访客 20:48:16
你们没有反映反映完善下这个漏洞吗
云在线-03 20:47:38
但是有一个情况
访客 20:48:25
访客 20:49:06
被偷倒的几率倒是不是太大 但是被身边人偷得概率就大了
云在线-03 20:48:36
您身份的人也太不安全了
云在线-03 20:48:43
或者您就换一张卡，作为常用的卡
云在线-03 20:48:54
然后别人知道的卡里，别放太多钱
访客 20:50:03
哦，你们应该反映下 修复下这个漏洞呀
访客 20:50:11
这对你们自己来说也是风险呀
云在线-03 20:49:56
您说的也存在，但是主要有一点就是，一些很隐秘的信息才能开通快捷支付，如果还需要的话，您觉得还需要什么信息才能成功开通呢
访客 20:50:57
银行卡密码呀
访客 20:51:03
这个可以确认是本人
访客 20:51:12
而且最安全
云在线-03 20:50:49
嗯嗯，就是开通快捷支付的时候需要银行卡的密码？
访客 20:51:31
你们不有支付宝控件嘛 木马又盗不了
访客 20:51:44
我觉得是这样 这样就可以避免了
访客 20:51:53
希望您反映下
云在线-03 20:51:17
好的，肯定会的哦
访客 20:52:05
因为手机卡是可以拆卸的
访客 20:52:19
又不能给手机卡再设置什么密码呀 而且就是能设也太麻烦了
访客 20:52:30
身边人要偷太轻松了
云在线-03 20:52:00
您身边的人都很坏吗？
访客 20:52:46
访客 20:52:57
但是防范于未然 您说不是吗？
云在线-03 20:52:37
是的呢，您稍等，我再帮您问下您说的这个情况呢
访客 20:53:25
访客 20:53:30
您帮我想想办法
访客 20:54:29
我手机卡还不是实名制的，现在去营业厅回答出我最近打的几个电话就能补办
访客 20:54:42
我之前就补过一次
云在线-03 20:54:42
云在线-03 20:56:40
帮您问了下，是这么回复的。这样的可能性很小， 身份证，银行卡卡号别人也知道，银行预留的号码也是现在的号码，手机也被偷了都需要是同一个人，而且支付宝这边还会有相关的安全检测的，不是说一定可以盗走账户里面的，钱如果真的什么东西都丢了，您去银行尽快挂失银行卡就好了
访客 20:58:06
这。。。。。。
访客 20:58:46
可是要是身边人偷得话概率极大呀
访客 20:59:08
那我手机用几秒就替我开通了 完了我还不知道
访客 20:59:32
您说是吗？
云在线-03 20:59:31
是的，这方面我们会积极反馈的，希望您自己也保护好您自己身份信息的安全
访客 21:00:45
嗯，好吧。别人没发现这个问题？
云在线-03 21:00:11
目前还没遇到这么巧的呢
访客 21:01:18
对了，我要实名认证一个支付宝，别人是不是就不能用我身份证号再注册了？
云在线-03 21:01:04
访客 21:01:56
这。。。。
访客 21:02:19
我看新闻有报道别人被盗的问题
访客 21:02:28
所以过来问一下
云在线-03 21:01:47
访客 21:02:46
没想到还是真的 这快捷支付还真是有漏洞
云在线-03 21:02:11
谢谢您的意见
访客 21:03:13
可你们宣传是最安全的
云在线-03 21:03:02
访客 21:04:03
这个不合适吧？
云在线-03 21:03:39
会注意这方面的，建议您自己也保护好您的所有信息
访客 21:04:23
我看上面说要用支付宝的支付密码才可以支付呀
访客 21:04:35
那我设置一个呗
云在线-03 21:03:59
是开通了快捷支付以后，输入支付密码就可以付款
访客 21:05:40
哦，就是他人有了我身份证号 银行卡号 拿到我的手机或手机卡 他人可以替我开通新的支付宝 我自己设置的支付宝密码什么的没用
访客 21:05:59
然后他人可以肆无忌惮的花我钱
云在线-03 21:06:00
访客 21:06:54
好吧，谢谢
boboHtml = '';
html += boboH
NTES(".bobo-list").attr("innerHTML", function() {
return this.innerHTML +
}, "utf-8");
发帖: 2 篇
在线时长: 1 小时
为什么没人回复？难到都不关系自己的资金安全？！
发帖: 1 篇
在线时长: 0 小时
哎，我的银行卡号就被人家给关联成他的支付宝快捷方式了
发帖: 0 篇
在线时长: 0 小时
你提的这些问题太到位了，这也是我在琢磨的。这些漏洞太可怕了，一旦身份证、银行卡跟手机一起被丢，里面的钱就可以都被取走了，根本不需要是熟人。
另外如今的手机上的支付宝与淘宝客户端更让这快捷支付不安全，手机丢掉以后，如果手机上的客户端记住了用户名，即使没有记住密码，也可以用手机轻松找回，狂花里面的钱。
不知道这些以后会不会成为偷手机的人的新目标
发帖: 0 篇
在线时长: 0 小时
我的今天被盗了8000，银行说是支付宝的事情，不管银行的事。但这是支付宝跟银行合作的啊。。。。
发帖: 0 篇
在线时长: 0 小时
我的卡是用我的手机号的，但是别人拿的是我爸的手机，怎么也能快捷支付转走呢？
发帖: 0 篇
在线时长: 0 小时
貌似交通银行已经开始注意到问题的严重性了，
从日起 快捷支付好像有额度限制了，但是治标不治本！
发帖: 0 篇
在线时长: 0 小时
有个方法可以有效防止，就是支付宝绑定的手机号不要和银行卡的手机号一样。支付宝绑定的手机号也要注册支付宝账户。也绑定这个手机号。这样只有一个手机丢失，她只能获取支付宝的验证码，去修改支付密码和登陆密码 在添加银行卡时无法获取银行卡预留手机的验证码
发帖: 0 篇
在线时长: 0 小时
今天验证不用银行预留手机号，一样可以交易.任意一个手机号，支付宝都.会给发验证码，也就是有身份证号姓名银行卡号,手机认证根本没用，大家小心了，支付宝存在严重漏洞，今天打客服电话打了一天也没打通，不是话务员忙（95188），就是挂你电话（）
本楼通过手机发表 []
发帖: 0 篇
在线时长: 0 小时
楼主可以留下QQ吗，我有被骗经历，之后网上有个人说可以帮我，她知道了我的身份证，银行卡号，发短信到我手机上，我曾给过她手机上的验证码，之后就扣了800多，我骂他是骗子，他说我被第一个人骗后报了案，资金全冻结了，他还给我截了图，但我怀疑那图是不是假的，她又叫我充300，就可以给我转600出来，还要发验证码，他说我不想要钱就算了，也别烦他，说他骗子。我该不该相信他啊
发帖: 5 篇
在线时长: 7 小时
投资路上，选择永远比努力更重要。推荐一款贵金属理财工具-慧通金银
免费：使用无门槛，不登录即可看行情、资讯。快捷：闪建闪平，一键下单非农神器。指导：行业快讯，指导交易。全面：囊括PC端、手机端行情、交易全部功能。轻便：小巧轻便，下载安装快捷，占用系统资源少，运行稳定流畅安全：信息、操作安全，高超的通信加密及屏幕超时功能提供保证
发帖: 0 篇
在线时长: 0 小时
有人知道我的身份证号银行卡后三位 和我的手机号 那他能盗走我的钱吗
发帖: 0 篇
在线时长: 0 小时
好恐怖，如果我绑定的支付宝和银行卡，银行卡不安全曾经被盗了，或者曾今有人知道了我的密码，那么我的支付宝还安全吗？求解。。。。
下次自动登录
每30秒自动保存一次内容
中东味十足
24小时热帖榜
下次自动登录NFC 手机真的可以轻松读取银行卡信息吗？
【李铁军的回答(332票)】:
这个新闻这几天很热，金山毒霸安全中心对这个风险做了简单测试。对网友关心的一些问题作了解答，希望对大家有帮助。下面简单介绍下这次测试的结果。
先简单说说什么是？
NFC（近场通信，Near Field Communication），又称近距离无线通信，是一种短距离的高频无线通信技术，允许电子设备之间进行非接触式点对点数据传输交换数据。
这个技术由免接触式射频识别（RFID）演变而来，由飞利浦半导体（现恩智浦半导体）、诺基亚和索尼共同研制开发，其基础是RFID及互连技术。
与我们目前使用较多的蓝牙技术相比，NFC使用更加方便，成本更低，能耗更低，建立连接的速度也更快，只需0.1秒钟。但是NFC的使用距离比蓝牙要短得多，有的只有10CM，传输速率也比蓝牙低许多。
NFC可以与蓝牙技术互补，因此在手机、门禁、一卡通、领域也逐渐被广泛应用。
什么样的手机支持？
不是所有手机都具备NFC模块。但是，自从2006年诺基亚推出第一部NFC手机开始，现在越来越多的智能手机已支持NFC技术。
比如，诺基亚Lumia系列、三星Galaxy及Note系列、索尼Xperia系列、HTC One系列以及国内小米手机3、Oppo、魅族等部分手机，均已支持NFC技术。iPhone目前还不支持，但有传言iPhone 6将增加该功能。
哪些银行卡可被读取信息？
可被NFC手机读取信息的银行卡均为IC芯片银行卡，传统的磁条卡无法读取。
图1 NFC功能手机和芯片银行卡
卡面有IC卡芯片的银行卡，一般也带有闪付标志。在咖啡厅、餐厅使用这种芯片银行卡结账时只需要将银行卡贴近读卡器，勿须密码即可完成小额支付。
测试发现，读取芯片银行卡信息，除了手机需要支持NFC功能，还需要在手机上安装使用相应的软件，比如手机支付宝。
可以读取哪些信息？
不同的银行卡可以读取的信息不尽相同，测试了不同银行的多张银行卡，结果如下：
图2银行卡读取结果汇总
NFC手机可以读取卡号和最近交易记录，不能向外转账。如下图所示，读取信息后，显示可以“开通快捷支付”，但因开通快捷支付只支持实名帐号与银行卡归属同一个人，因而无须担心你的银行卡被别人的帐号绑定。
图3 NFC手机扫描农行卡的结果
图4 NFC手机扫描招行卡的结果
图5 最近10笔交易记录
距离要多近能读出？
NFC手机能够读取信息的距离，直接决定了获取银行卡号的难易程度。为了较为直观的测试出NFC读取的可行距离，经过金山毒霸安全中心的轮番测试：
首先，银行卡要放在手机背面某特定区域中才能被读取，如下图。现在的智能手机屏幕大部分都很大，而NFC模块很小，卡片离得越近，才越容易读取。
图6 开始扫描界面
测试一，将IC芯片银行卡直接贴在手机背面，读取起来当然最为轻松。
图7 银行卡贴着手机显示的扫描结果
测试二，手机和银行卡中间放置一根圆珠笔，直径大约2cm，手机仍然顺利地读出了信息。
图8 垫一支笔后的扫描结果
测试三，手机和银行卡中间放一钱包，高约5cm，已经无法读出银行卡信息，对距离要求确实苛刻呀。
图9 垫一个钱包之后的扫描结果
测试四，更贴近真实环境，被陌生手机读取的最大可能发生地是拥挤的地铁或者公交车，那么NFC手机能够读取陌生人裤兜里的银行卡信息吗？
将银行卡塞入钱包放进裤兜里，然后将手机贴到对方裤兜上，测试时变换了多种位置和角度，最后的结果是读取失败。
而如果银行卡不放入钱包而直接放在裤兜里（虽然这种可能性较低），NFC手机贴上去，看下图，在变换了几个角度之后，手机是可以读取出信息的！
图10 单张卡放裤兜紧贴着扫描的结果
从上面也可以看出，NFC手机读取信息对距离是极其敏感的，超过5cm读出的概率就大大降低，因此只要银行卡在钱包里，被陌生手机读取就已经非常困难了。即使在把人挤成照片的地铁里，陌生手机真要读取你银行卡，需要变换各种位置和角度，其难度比直接偷钱包还要高上不少。因此，网民对此不必过度担忧。
存在哪些安全隐患？
如果芯片银行卡被未经授权的人使用NFC手机读取信息，可能导致银行卡号、身份证号、最近10次消费帐单、手机钱包余额被读取。这部分信息属于个人隐私，但这些信息并不能直接导致银行卡资金被盗。
还有些人担心一些山寨支付软件或植入病毒的手机程序利用NFC功能读取银行卡信息，只能说理论上有此可能，实际无此必要。CM Security（原金山毒霸）安全实验室上个月监测到数百款山寨网银APP通过网络钓鱼骗取个人信息，攻击者没必要增加盗窃过程的复杂性：除了用软件方法，再要求被攻击者满足必要的硬件条件。
当然如果你的IC芯片银行卡落在了你老公（老婆）手里，不需要银行卡密码，TA就能轻松知道你最近的交易纪录，恐怕面临的麻烦也少不了。这方面的隐患十分巨大和复杂，各位想必都深有体会，这里就不多做说明。
传统磁条卡是否更安全呢？相反，旧的磁条卡由于更容易被复制，安全性更差一些。
1.NFC毕竟提供了一种非接触式的通信方式，虽然比较近，个人信息有被非法获取的可能。金山毒霸安全中心建议持卡人妥善保管好银行卡，勿让银行卡离开自己的视线。
2.可以使用比较厚的钱包，把钱包放进安全的书包。
3.手机中毒的危害比NFC手机扫描银行卡丢失信息的概率更高，因此手机防病毒相对更重要。
【薛伟超的回答(58票)】:
作为刚入门的智能卡卡商(主做芯片银行卡和SIM卡)的技术顾问，终于有机会在知乎上认真答一下了(小激动中)
比较遗憾的是来晚了1天，希望还是能有机会被顶上去，也算是科普下
文章没图而且比较长，不过够干，请各位耐心观看
在下回答问题前，有必要先解释/定义几个技术名词
一方面是避免引起误解，一方面也是普及下概念
NFC：一种通讯技术，其他好几位也有解释，更具体可以看百科或维基()，我就不重复了
银行卡按界面分，可分为磁条卡和IC卡(芯片卡)
前者卡上只有磁条；后者则可能有磁条，也可能没有 (现在国内银行很少发不带磁条的IC卡，因为他们知道推广芯片卡那么多年过去了，还是只有少部分POS机支持IC卡)
对芯片再细分，可分为接触式，非接触式和双界面的
接触式顾名思义就是只支持接触式交易，交易时卡要插到POS机里
非接触式则只支持非接触式交易，交易时卡放在POS机上。通常非接触式的IC是埋在卡里的，表面上看不出。
除了一些异型卡(例：金穗QQ联名IC信用卡的附属卡—)之外，我尚未听说有银行推出过纯非接触式IC卡，如有消息灵通的，麻烦告知下
按照 《中国金融集成电路（IC）卡规范》(后文简称PBOC规范) 中的规定，其中非接触式界面工作在13.56MHz波段，和NFC规范中的一致
双界面说明这个IC同时支持基于上述两种界面
所以，只有银行卡是支持非接触交易的IC卡时，其才有可能被NFC终端读取到卡内信息
乘此机会也宣传一下，磁条卡由于卡内信息不加密，所以会很轻易被复制，而造成持卡人的损失。
针对这种情况，人民银行很早就在推广IC卡了：
接着解释名词……
引用2010版PBOC规范的定义
一种为方便持卡人小额消费而设计的金融IC卡应用。它支持圈存、消费等交易。消费不支持个人识
别码（PIN）保护
同样引用2010版PBOC规范的定义
一种为持卡人进行消费、取现等交易而设计的支持个人识别码（PIN）保护的金融IC卡应用。它支
持圈存、圈提、消费和取现等交易
上面的PIN指密码
这里的应用，可以理解成手机里的app
因为种种原因，在最新的PBOC规范中已经被废止了这两种应用。实际则仍有一些小额消费会通过这两种应用来实现。事实上，最近发行的大多数IC银行卡中的金融应用，遵行的还是2010版的规范
至于金融应用，可以理解成手机里系统自带的，最基础的短信/电话app
标准/快速借贷记交易都会通过金融应用来实现
电子现金 (终于说到重点了)
引用2013版PBOC规范的定义
基于借记/贷记应用上实现的小额支付功能
这种功能不依赖某种特定的界面，所以既支持接触式界面，也可以非接触式界面
同时其也不依赖某种特定的交易方式，即可以联机交易，也可以脱机交易
同时其也不依赖某种特定的认证方式，即可以要求输密码，也可以不输密码
虽说如此，通常为了方便花钱才用的电子现金，所以使用场景大都是 非接触+脱机交易+不输密码
PBOC规范规定了电子现金的一些特性：
电子现金的余额和交易日志保留在卡片中
注意：银行帐号(或称主帐号) 的密码和余额存储在银行后台
PBOC规范还有这么一条：(引用自2013版PBOC规范第13章A.3.4)
任何终端可以实现余额与交易日志显示功能，但对POS终端，这些功能不作强制要求
银行在规范外还制定了一些限制：
不记名、不挂失、不计息、不取现
余额上限1000元
如果你在银行卡或者POS机上看到“闪付”或"QuickPass"的logo，那就说明其支持电子现金功能，
顺便，宁波市民卡的各种小额消费、以及中移动联合浦发推的SIM卡刷地铁，都是通过电子现金来实现的
我知道的手机钱包都是通过在SIM卡*中装入金融应用(用到其电子现金应用)*，同时利用NFC作为界面来实现的，但也不排除某些地方用电子钱包的可能性
*我不确定卡上是否会印logo
好了，说完这些，终于可以开始答题了：
不需要密码，手机真的能读取银行卡信息吗？
&&是的，前提是该银行卡是一张IC卡，且支持非接触界面
此时能读取到一些信息，比如：
持卡人姓名，持卡人证件类型，持卡人证件号码，银行卡号，卡有效期，电子现金余额，电子现金交易日志等 (这些都是标准金融应用中未加密的信息)
这是怎么实现的？
&&通过合法的终端(读卡器)和软件即可实现
会威胁我的资金安全吗？
1. 如果你没用电子现金功能：不会，因为读不到主账户的余额或密码
2. 如果用了电子现金功能：可能性微乎其微
因为电子现金的交易过程是先扣款后验证，所以未通过银联认证的POS机/读卡器也能扣卡片上余额 (测试时我们通常只扣1分钱)，但这只能用来恶作剧，未通过银联认证的机器是没办法成功交易的
另外对某些心存幻想的人补充一句，圈存(充值)就别想了，除非你知道该银行的根密钥
需要注意些什么？
&&除非你很在乎自己的姓名和证件号码被人知道，否则没什么特别需要注意的
有所谓专家认为，NFC手机有可能成为黑客的“提款机”
&&不排除某些人可以搞到支持电子现金的POS机，又正好遇上一个用电子现金的持卡人，最后他们还紧紧地贴在了一起，想想就那啥= =
另外说实在的，用这种方式获利，对黑客简直是一种侮辱
也有分析认为，手机只有紧贴着银行卡才能读出有限的卡内信息，也并不能进行转账操作，因此风险并不大，网民不必过分担心
&&风险何止不大，是几乎为0
方便和风险是对立的，总要权衡取舍一个，我相信随着时间推移，更多人会倾向于方便这一侧
手机支付宝就是很好的例子，其实其体系没有IC卡安全，但因为容易推广(不需要铺POS啊)，大家接受得非常快
以防万一的自问自答：
李铁军回复的图里，不是只能读到部分，甚至无法读取持卡人信息，为什么你说可以？
&&用的软件不一样的原因吧，我用公司自己开发的软件，试了下自己的信用卡，我上面说的那些公开信息都能被读到
有人谈到校园卡，关于校园卡也补充点信息：
如果是银行和校园的联名卡，那可以下面有这些技术方案：
1. 卡上仅有标准的金融应用，用电子现金实现小额消费 (业务流程有缺陷，因为万一掉了卡，没办法很快补卡。毕竟是银行卡)
2. 卡上有标准金融应用和校园应用或电子钱包应用，后者应于实现非金融功能
3. 卡上有标准金融应用和M1模块(M1用来做实现门禁，也可以用来做小额消费的身份识别，后台扣款)
4. 卡上有标准金融应用+校园应用/电子钱包应用+M1 (这个比较蛋疼，如果没有复杂的系统升级历史，没人会这么干)
如果不是联名卡，实现的方案就更多了，不过考虑到成本应该会用M1卡，毕竟技术很成熟
最后，发现搞不清电子钱包和电子现金的人还真不少，说什么好呢……
好吧，是规范写得不好，非得搞这么两个字面意思超级接近的东西来混淆大家，真是太可恶了！
【知乎用户的回答(12票)】:
其实没那么复杂。银行卡的这个功能是《中国金融集成电路卡规范》中定义的。
来龙去脉可以见我写的文章：
【知乎用户的回答(8票)】:
就我所知补充一些东西。
1. NFC 的工作原理是刷卡机（手机）线圈发送电磁波，由卡片上的线圈接收，存储能量（供电）并交换数据。传输距离基本上由主机发送功率（或者说卡片上线圈获得的电压）决定。功率大一点，线圈大一点确实可以做到传输距离更大，但是做到 10cm 以上几乎不可能。（PS：目前最高票答案最后的检测感应距离的方法不太靠谱，手机的发射功率一般都很小。）
2. 不一定要用手机读取，专门的 NFC 读取/复制设备是存在的（比如说 Proxmark3），这玩意儿可以直接复制然后模拟刷卡。
3. 这玩意儿危害资金安全可能性不大。
4. 真正要安全的话，找个铁盒子把卡片装起来。
【张伟杰的回答(6票)】:
关于这个问题，很早以前就做过实验。能读取银行卡号，但是拿到银行卡号并不能做什么，不会直接导致账户资金问题。所谓的余额，和交易记录，都是电子钱包的。电子钱包和银行卡的资金是不在一起的，是圈存进去的，而且只能最多1000元。电子钱包不挂失，不补办，所以最好不要放很多钱进去。理论上是可以盗取电子钱包里的资金，但是对距离有很大的限制，只有贴很近才能数据交换。而且虽然电子钱包是离线交易，不需要联网就能扣你的钱，但是所有的交易记录得上传的，这样他们才能拿到钱。所有记录都是可查的，银行卡内有最近几笔的交易记录，一般是10笔。除非银行卡丢了，不然你的资金基本上安全的。关于NFC安全的问题，我觉得是伪命题。某数字厂商，竟然借此炒作，实在无耻。
【知乎用户的回答(4票)】:
移动设备生产商开发NFC，以及VISA、MasterCard等卡组织花了巨大的人力物力开发芯片卡、更换全球的POS机、逐步淘汰磁条卡很大程度上就是为了发展接触支付（小额免签支付、公共交通快速支付等）。从去年开始，每次在新加坡看电影都会看到Visa巨资投放的Visa Paywave的广告。广告中，只要轻轻一触就可以成功付款，不需要密码和签名。而MasterCard的Paypass和银联的闪付都是同样的东西。
那么现在关于这样会不会泄密的问题就来了，这也是这项技术刚刚开发的时候就不断被质疑的问题。
首先，就像 的答案里面描述的那样，NFC功率有限，只能在非常近的距离里面起作用。那么在公共场合，一个陌生的人拿电子设备，如此近距离的靠近你，并且他的设备正好对准你银行卡的芯片并保持一小会的几率其实很小。而且，NFC最多只能读出卡号，2位身份证号和10笔交易记录。假设对方能够拿到这全部的三项信息，他并不能对你的卡做什么。
要想把信用卡里面的钱弄出去，有这几种方法：
1.预授权。需要卡号（不需要卡片本身）、卡片有效期、安全码、卡主姓名。常见于机票预订、酒店预订。卡组织一般只会对航空公司、大酒店这种有足够商业信用的、有风险承担能力、支付和入账并不同时进行的消费授权使用预授权模式。比如你订酒店，你付在预订时付的费在会计上叫“预付账款（unearned revenue）”，这个时候对于酒店来说这笔账并不是收入。对于你来说，你并没有花钱，只是信用卡的消费额度里面被冻结了一笔押金。这笔账只有在你退房时，在账单上签字后才会从你手上转给酒店。这种模式需要的信息最少，但是从上面的实验来看的话，根本就没法取得足够的信息。即便退一步来说，对方掌握这全部信息，他作为个人也很难会有卡组织授权给他以预授权模式收账。再退一步来说，即便他有，他也没法立即划账。在此之前如果收到银行通知有预授权冻结的话，只要一通电话就可以把这笔钱保住。
2.Visa和MasterCard的3D验证。需要卡号（不需要卡片本身）、卡片有效期、安全码、卡主姓名、以及手机验证。常见于各种网络支付、网购。这种模式需要手机验证，获得卡号、交易信息、身份证号两位这种信息根本没法操作。
3.银联/Visa/MasterCard刷卡。没有你的卡片这个根本没法实现。
而在磁条卡时代，被人知道卡号等信息后卡片容易被复制，所以很多人一听到能够知道卡号就会失去安全感。但是就目前来看复制芯片卡是相当困难的。所以也不用担心自己的卡片会被复制。
除了财产方面，其他的信息应该没有什么好担心的。昨天花了多少钱等对于真正有不轨动机的人来说基本无意义。
当然，凡事小心为妙。在国外银行会对非你本人操作的交易负责，而国内这方面还存在不确定因素。所以最好将卡片放在包里，定期查看交易记录等等。
【LauriceWara的回答(5票)】:
我从卡端回答一下，芯片卡最多可以记录10条交易日志，这10条是循环日志，而且可以直接读，不需要权限。持卡人姓名卡号等如果是明文必然可以读出，姓名卡号能否读出完全取决于银行的数据(姓名可以不写到卡里，卡号可以密文)。证件号是PBOC3.0规范新增的，那些读不出证件号的应该是PBOC2.0。另外网银或者网上交易的话NFC手机读不出，因为交易时芯片没有上电不会记日志;电子现金余额可以100%读，卡内余额(主账户)是读不出的，因为这个压根不存在芯片，而是存在服务器上;电子现金账户的钱(余额上限一般为1000)是可以随便刷的，不需要密码，如果把卡给我，不需要POS机我就能给你变零了。如果要怪也只能怪到PBOC规范制定者头上。
最后补充一句，PBOC规范是参考EMV、VISA规范的，国外的芯片卡也存在上述问题。
【王晓萌的回答(4票)】:
NFC手机能轻松读取芯片银行卡卡号及交易记录？
是的，可以读取银行卡正好，电子现金余额，和最近十笔交易记录。
这些信息是不加密可以直接自由读取的，符合PBOC规定的
会威胁我的资金安全吗？需要注意些什么？
不使用电子钱包，不会威胁你的资金安全，需要注意保护隐私。
使用电子钱包功能，要知道他就叫电子钱包，和你的钱包一样，有资金安全问题，怎么保护呢？和钱包一样别丢了就行。
会变成黑客的提款机嘛？
不会的！！电子钱包是有限额的，丢的钱也是非常有限的。
另外读取信息归读取信息，交易是另算的。
交易设备自己造难度大，需要有交易中心证书才能工作。
交易设备使用正常设备，容易被查出来。而且卡也有交易限制，大于一定金额要输密码啊，小于一定金额也有脱机交易限制。超过脱机交易次数限制必须联机，联机的话银行就可以锁卡了嘛~很安全的（当然你得挂失）
【redrainroot的回答(4票)】:
最近在玩nfc，回答一下
这个新闻有些夸大风险了，再加上金山的那个测试，搞得人心惶惶，银行卡有这么几种，磁条卡，就是很早之前的那种，通过磁条来数据交换的，这种卡容易被复制，所以不安全；
芯片卡，为了解决上述磁条卡的问题，增加了芯片卡，一个裸露的芯片，这是接触式的，这种卡片不容易被复制；
而题主所说的有nfc功能的，是有闪付功能的银行卡，这种卡片除了有接触式芯片，还有非接触式的功能，可以通过nfc设备数据交换
至于安全性，应该可以说不用担心
首先办理卡片的时候是否通过闪付查询到银行卡号，身份证，交易记录都是用户可选的，其次，虽然说是非接触式，但是有效距离最大也仅仅只有4cm左右，根本无法拿着手机大街上扫来扫去，再者说，cvv，余额，有效期等等敏感信息根本就无法通过闪付功能读取到
所以总体来说，还是很安全方便的
【张宁的回答(1票)】:
最近10笔交易是指带支持闪付设备的交易，这个设计是为了读取闪付部分的流水信息，但是不知道什么原因部分闪付读写能力的设备（主要是自助存取款设备）将流水也写进去了，才造成了现在的问题。
简单的说就是这是部分的流水，也不会存在安全风险
【辜磊的回答(0票)】:
实测工行芯片卡被读取，关键是有余额和交易信息，银行的这个设定真脑残。
有效距离的话，如果有人用大功率的NFC是否有可能加大呢？
【倪焱石的回答(0票)】:
有图有真像，有IC芯片就能读。
【知乎用户的回答(0票)】:
可以读取，手机打开NFC，把带有芯片的卡贴在手机后面即可读取
读取会直接提示打开支付宝，开启支付宝之后方可查看。
也可以读取带有C标志的公交卡，之前支付宝和E乐充公交卡合作的也可以轻松读取。
一直宣称可以使用NFC的这个功能给公交卡充值来着，但是尝试了N多次从来也没成功过。
结合我从来没有使用这个功能给公交卡充值成功过，我觉得手机NFC功能这个问题没有必要太担心
真心的，现在宣称可以使用NFC功能怎么着的，没一个用心做的。
【江禹峥的回答(0票)】:
Q：NFC能读到多少数据？
A：取决于制卡方的设计：
①为便捷，刻意留下了一些信息。
②RFID认证协议没设计好。
金山夸大+不明真相群众=恐慌
【囧囧的回答(0票)】:
实际经验表明，校园卡读不出来，囧。银行卡中行的，贴在手机后面能够读出卡号，最近十笔交易，不知道是手机问题还是什么问题，拿开就没有了。
【AlexTrue的回答(0票)】:
中移动标准是4cm啊?大家都奔着这标准去的 当然5cm就不考虑啦
【飞飞要睡觉的回答(0票)】:
如果你用过一款软件 卡卡联 。你就可以明白了(支付宝钱包的nfc应用比卡卡联晚出来半年多)。
【城南西楼的回答(0票)】:
因为查询余额也会在十次交易记录里面显示，所以我最近在思考要不要取了钱都查十次余额昂昂昂！！！
【远远的远的回答(0票)】:
我比较欣赏李工程师回答该题的方式，用实例验证很能说明问题，当然，在安全措施那一块，不可避免地会提到手机防中毒的问题，金山和360都在此方面发声，很有意思。NFC在欧美和日本流行已久，在国内尚处起步推广阶段，但在国内这应该是大势所趋，相关的安全问题也有必要进行探讨，尤其是应该注重对海外经验的借鉴。我想再补充一些我的想法，一家之言，不够专业和全面。
1、目前NFC支付读取的必备条件：支持NFC功能的手机、相应软件、芯片卡。手机不必多言。相关应用软件：分为正常渠道软件和非正常渠道软件。前者如“支付宝钱包”等APP，后者就是层出不穷的各类黑程序，如早期的盗码软件。芯片卡：包括借记卡、贷记卡和少量的准贷记卡，李工的测试里对这个问题没有分别讨论，而统一以银行卡代之，比较遗憾。
2、读取信息：因为测试没有穷尽目前典型银行卡，较为敏感的信息主要集中于卡号、证件号、余额、交易明细等，较为敏感的功能是开通快捷支付等。
3、目前银行在NFC信息展示方面的确存在不尽完善的地方，如个别明文列示卡号和证件号、如展示电子现金账户交易信息之外甚至展示银行卡账户交易信息等。除泄露隐私带来的不适感外，还可能会造成资金损失。尽管李工的测试从多个方面甚至犯罪心理学上来说明风险很小，但我想，让人更担心的恐怕是多种手段结合应用导致的盗用事件。
4、如某读卡器黑程序，能够通过NFC读取包括芯片式贷记卡到期日在内的安全校验信息。当犯罪分子掌握信息后应用于购物网站，尤其是不需要输入CVV的购物网站，那么盗刷就是件十分容易的事儿了。更有闲情逸致的犯罪者，并不看重小额的电子现金钱包，而是利用卡号等信息开通快捷支付，通过SIM写入器和白卡复制手机卡，通过碰撞器程序获取银行密码，直接就能利用第三方的支付功能盗取银行卡账户资金。个人认为，风险是一种概率，风险较小和风险为0是两码事，而推测犯罪分子因为作案成本较大、过程较曲折就会放弃某种方式是比较武断的。
5、这个新闻发出后，有的银行和厂商反应比较简单粗暴，有些直接告诉消费者如果担心的话就关闭NFC功能或者用回磁条卡。这个，我们不能搞倒退嘛。但也不排除新闻热潮期间，已经有银行快速反应，在银行端方面对参数进行了修改，比如调整信息展示方式和范围，或者加入验证手段。这都是很好的尝试。而更完美的解决方案的出台，就如同NFC在国内的发展道路一样，是个值得期待和应该加速的事情。
&&&&&本文固定链接:
【上一篇】
【下一篇】
您可能还会对这些文章感兴趣！
最新日志热评日志随机日志