2016央视315晚会曝光了部分智能支付终端存在安全漏洞,在全国观众面前展示了一番盗刷银行卡的“新技能”。尽管在许多支付业内人士看来关于盗刷并不陌生,这个技能科普简直弱爆了。但考虑到央视受众是全国各地老百姓,刷卡消费又和人民生活息息相关,“盗刷”上榜合情合理。
和“卖花生油”那个低俗小品中的改装POS机盗刷不一样,智能支付终端中的盗刷显得更高级一点。
央视原话如下:
当消费者在有漏洞的智能POS机上刷卡(磁条)消费,消费成功后就会收到短信通知,然后消费者离开。随后攻击者可以利用的这个漏洞发起重放攻击,重放并不需要被盗刷者的银行卡,也不需要他的密码,只需要另外一张卡来触发POS机即可。攻击者接着刷任意磁条卡(不一定要银行卡)触发,然后随意输入密码,就可以消费他的钱了。
在这里,重放攻击指攻击者发送一个目的主机已接收过的包(视频中第一次刷卡),来达到欺骗系统的目的,该攻击主要用于身份认证过程,破坏认证的安全性。重放攻击在任何网络通讯中都是有可能发生的,并且各种密码加密(视频中密码随意输入)是无法阻止重放攻击的。重放攻击是黑客常用的攻击手段之一,特别是在认证的过程中,用于认证用户身份所接收的包,而支付正好也是一个认证过程。但是想要阻止重放攻击也并不难,因此智能POS厂商在安全上确实需要下更多的功夫。
安全问题是智能POS厂商、甚至是支付产业链上所有企业都要面对的课题。大名鼎鼎的Square也曾面临盗刷威胁,此前有研究团队声称,已找到了禁用Square刷卡器的安全措施并灌入恶意数据的方法,盗刷全程仅需10分钟。而Square辩称此法只对老式的磁条卡有效,读卡器本身不会有任何问题。因此银行卡盗刷问题不会成为智能POS的绊脚石,反而会促进智能POS更关注安全问题。可以预见,国内智能POS厂商将在安全上做更多文章。毕竟目前国内支付环境,无论是消费者还是相关厂商在支付安全方面都有待加强,只有当这种意识达到了一定的程度,智能POS体系才算完善。
当然在这之前,一款合格的POS机,不管智能POS还是传统POS都是要经过银联方面相关认证,以获得《银联卡受理终端产品安全认证证书》,此举也可以理解为把安全的第一道关。但由于认证费用等问题,市面上的仍有很大一部分POS没有认证,消费者需要认准。
最后要说的是,尽管重放攻击不同于对POS的粗暴改造,但他们攻击的对象却是相同的,那就是磁条卡。芯片卡和磁条卡在安全级别上全部不在一个量级,但在日常中刷磁条卡的消费者数不胜数。因此移动支付网小编认为央视此次315晚会的关于智能POS攻击、改造POS、“送花生油的秘密”等等,还不如让撒贝宁在电视上来一句:防盗刷,请用芯片卡!
展开全文
- 移动支付网 | 2022/8/29 17:50:56
- 移动支付网 | 2022/8/24 11:31:39
- 移动支付网 | 2022/8/24 11:24:34
- 移动支付网 | 2022/8/24 11:18:11
- 移动支付网 | 2022/8/17 10:02:35
- 移动支付网 | 2022/8/11 11:39:20
- 移动支付网 | 2022/7/28 11:26:07
- 移动支付网 | 2022/7/20 17:32:11
- 移动支付网 | 2022/6/22 16:07:19
- 移动支付网 | 2022/5/23 15:04:44
- 移动支付网 | 2021/8/18 16:02:43
- 移动支付网 | 2019/10/10 20:49:15
- cnBeta | 2019/7/18 9:17:55
- 移动支付网 | 2017/3/22 15:42:29
- 移动支付网 | 2016/12/14 9:44:16