2016央视315晚会曝光了部分智能支付终端存在安全漏洞，在全国观众面前展示了一番盗刷银行卡的“新技能”。尽管在许多支付业内人士看来关于盗刷并不陌生，这个技能科普简直弱爆了。但考虑到央视受众是全国各地老百姓，刷卡消费又和人民生活息息相关，“盗刷”上榜合情合理。

　　和“卖花生油”那个低俗小品中的改装POS机盗刷不一样，智能支付终端中的盗刷显得更高级一点。

　　央视原话如下：

　　当消费者在有漏洞的智能POS机上刷卡(磁条)消费，消费成功后就会收到短信通知，然后消费者离开。随后攻击者可以利用的这个漏洞发起重放攻击，重放并不需要被盗刷者的银行卡，也不需要他的密码，只需要另外一张卡来触发POS机即可。攻击者接着刷任意磁条卡(不一定要银行卡)触发，然后随意输入密码，就可以消费他的钱了。

　　在这里，重放攻击指攻击者发送一个目的主机已接收过的包(视频中第一次刷卡)，来达到欺骗系统的目的，该攻击主要用于身份认证过程，破坏认证的安全性。重放攻击在任何网络通讯中都是有可能发生的，并且各种密码加密(视频中密码随意输入)是无法阻止重放攻击的。重放攻击是黑客常用的攻击手段之一，特别是在认证的过程中，用于认证用户身份所接收的包，而支付正好也是一个认证过程。但是想要阻止重放攻击也并不难，因此智能POS厂商在安全上确实需要下更多的功夫。

　　安全问题是智能POS厂商、甚至是支付产业链上所有企业都要面对的课题。大名鼎鼎的Square也曾面临盗刷威胁，此前有研究团队声称，已找到了禁用Square刷卡器的安全措施并灌入恶意数据的方法，盗刷全程仅需10分钟。而Square辩称此法只对老式的磁条卡有效，读卡器本身不会有任何问题。因此银行卡盗刷问题不会成为智能POS的绊脚石，反而会促进智能POS更关注安全问题。可以预见，国内智能POS厂商将在安全上做更多文章。毕竟目前国内支付环境，无论是消费者还是相关厂商在支付安全方面都有待加强，只有当这种意识达到了一定的程度，智能POS体系才算完善。

　　当然在这之前，一款合格的POS机，不管智能POS还是传统POS都是要经过银联方面相关认证，以获得《银联卡受理终端产品安全认证证书》，此举也可以理解为把安全的第一道关。但由于认证费用等问题，市面上的仍有很大一部分POS没有认证，消费者需要认准。

　　最后要说的是，尽管重放攻击不同于对POS的粗暴改造，但他们攻击的对象却是相同的，那就是磁条卡。芯片卡和磁条卡在安全级别上全部不在一个量级，但在日常中刷磁条卡的消费者数不胜数。因此移动支付网小编认为央视此次315晚会的关于智能POS攻击、改造POS、“送花生油的秘密”等等，还不如让撒贝宁在电视上来一句：防盗刷，请用芯片卡!