智能型手机被盗刷,mPOS的安全性?

『 智能型手机被盗刷!!! 』

规模较小的公司与商店都开始设计及导入mPOS这类型的装置,请大家要多加留意安全性。

企业安全解决方案供货商Positive Technologies研究人员发现一个影响全球支付服务的安全漏洞,
黑心商家或者是黑客有机会在顾客藉由mPOS载具进行消费时,入侵其消费者的账户或是窃取信用卡相关信息,
较进阶一点的方式,黑客还可以修改客户支付卡的金额,另外还能强迫消费者使用其他种方式来做付款,POS 机的厂商真的要注意!

会有这样的情况发生,是近期较热门的移动式支付卡片阅读机(mPOS),
黑客趁机在手机于mPOS之间,利用中间人攻击手法(MiTM)。
当消费者准备使用手机做信用卡交易的途中,会透过手机的蓝芽装置进行信用卡的交易,
这时黑客会借机在传输时利用攻击程序进行监听,并且能够有效的干扰磁条通过后的支付金额,也有机会远程控制手机程序。

这是因为有些mPOS卡片阅读机在执行蓝牙传输时,没有采用较安全性的机制进行配对,让mPOS暴露了不少的安全漏洞,
Positive Technologies供货商建议商家应避免采用磁卡交易,而是利用芯片+PIN码、芯片+签名或非接触式支付选项。

小编认为磁卡交易在手机上才算是新一代的消费模式,改善方式不是单纯避免磁卡交易才算有效解决,
应该改变及优化蓝芽装置的加密机制,或者在进行载具及网络传输时,
增加多因子的身份认证,例如多一组账号确认、手机简讯通知,可降低黑客入侵及修改金额的机会。

安律 PCI DSS 是金融支付安全产业最佳的顾问咨询及审查服务公司

https://www.ithome.com.tw/news/125139
https://latesthackingnews.com/…/vulnerability-discovered-m…/

 

支付卡营运标准的安全管理层次与精神

大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 “這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。

Reddit 遭骇了,Two Factor 被破解!

今天小编 ”读过”了这则新闻想起, 由于长期以来黑客攻击或数据泄漏的原因,过半是透过钓鱼、窃取自其他来源先取得 Credential 后,才攻入目标的网站或主机,因此过去我们都称 Two Factor Authentication 应该是防御黑客最便宜的解决方案, 在以信用卡交易安全为目标的 PCI DSS 标准中,也要求在远程登录 (Remote Login) CDE 所在的网络,或是 Non-Console 登入主机时均需符合多重身份验证 (multi-factor authentication)的安全要求。

但 Reddit 这个案例,可能是透过社交工程、身分数据盗窃后对电信公司进行 SIM 卡重新申请而破解了原来账号绑定的 Two Factor (SMS) 机制,这个也就需要提醒大家,其实两年前 NIST 就已经建议大家 Two-Factor 安全机制别再用 SMS (Drafted Digital Identity Guidelines, NIST,但后来有提出解释软化了原来的措辞) ,所以无论 SMS , SIM 卡是透过社交工程、数据盗窃向电信申请换卡,或是透过 SS7 可能的问题拦截到,目前均可以透过 APP 或是非 SMS 的双因认证来避开这个风险。

安律 PCI DSS 是金融支付安全产业最佳的顾问咨询及审查服务公司

 

 

来源网址:

https://www.ithome.com.tw/news/124948

https://blog.vasco.com/authentication/sms-authentication/