央视315晚会曝光mPOS等3大支付安全案例专家分析
移动支付网 老吴2016/3/18 10:19:08

  案例一:刷卡购油

  案件场景:

  通过低价花生油骗取小区居民在经过改造的POS机上刷卡,盗录磁条信息和密码。

  风险分析:

  本案例中,问题出在刷卡的POS机中。那么,POS机怎么窃取了你的银行卡信息和密码呢?上图:

  对于磁条卡,银行在交易过程中只校验卡片中存储的磁道数据是否合法、用户输入的密码是否正确,因此,如果磁道数据和密码同时丢失,那么不法分子即可通过磁道数据制作伪卡,在任何合法的地方进行交易。

  风险防范:

  那么,如何防范这种风险呢?

  首先,POS机问题,银联对POS机有强制的安全要求,符合要求的POS机不容易被改造,不容易用于窃取磁道数据和密码。本案例中的POS机是被不法分子改造非认证产品,可获得明文的磁道数据和密码。

  然后,使用POS的商户合法性,在整个交易过程当中,商户的POS机需要接入正规的收单机构、银联和银行,交易才可能真正的成功。一般正规的商户使用的POS机会经过安全认证,但不排除有不法商户专门窃取银行卡信息,因此,像此案例中如此“优惠”的陷阱,用户一定要提防提防啦!

  还有,现在的银行卡都支持芯片卡,为了防护防不胜防的欺骗行为,去换芯片卡吧,这样骗子更难获取您的银行卡信息了,本文案例三中会描述为什么芯片卡会比较安全。

  案例二:扫码下载APP

  案例场景:

  扫一扫,下载APP,送“好礼”,给“优惠”!

  风险分析:

  该案例中,不法利用各种”优惠“活动诱使用户下载APP,这类APP带有恶意的木马程序,获取手机里存储的信息、用户输入的信息甚至短信信息。使用过支付APP的用户知道,在支付交易过程中,虽然有多重密码防护,但如果恶意软件可以直接获取用户输入的信息,有如有人盯着你的键盘,看着你操作还能一字不差的记下,是多么恐怖的事情。而且,有经验的用户知道,各类APP重置密码可能只需要身份证和短信验证,想象以下,如果您的身份证信息和短信信息随时能被恶意软件控制,您还有什么信息是保密的呢?

  风险防范:

  1、不要轻易扫码下载APP,虽然只能手机给生活带来了各种方便,但也一样带来了风险。为了保证个人信息,银行卡信息甚至人身安全,一定要多留意。

  2、针对主流的两类只能手机操作系统,需要特别提醒Android操作系统手机用户,因为其代码的开放性,多数的恶意软件出现在Android平台上。当然也不是说苹果iOS百分之百安全。

  3、由此可知二维码技术本身是很难防范风险的,因此消费者在日常使用某些二维码支付产品时应提高警惕。

  案例三:伪mPOS攻击

  案件场景:

  同一个手机、同一个APP和同一个mPOS中进行消费,第一次消费400,为正常刷卡输密消费。第二次用随意一张卡触发交易并随意输密码,结果第一张卡消费500元。

  风险分析:

  先了解下315视频中提到的重放攻击以及如何防范重放攻。

  什么是重放攻击?是指攻击者发送一个目的主机已接收过的包,特别是在认证的过程中,用于认证用户身份所接收的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的安全性。它是一种攻击类型,这种攻击会不断恶意或欺诈性地重复一个有效的数据传输,重放攻击可以由发起者拦截并重复发该数据到目的主机进行。简而言之就是黑客偷取了上一次你合法交易中使用合法数据伪造了一笔非法的交易骗过了银行的校验。

  如何防范重放攻击?防范重放攻击重要的一点是保证每笔交易的唯一性,比如在报文中添加时间戳、随机数、或者能代表每次传输的报文唯一性的其他要素。简而言之就是每笔交易都应该有唯一的标志。

  那什么是mPOS,mPOS是由手机、手机APP和外挂终端组成,手机APP主要处理订单和支付请求,外挂终端负责存储安全秘钥和采集卡片信息,交易报文可以在APP也可以在终端中进行,基本交易流程如下图所示:

  按照315视频中的情况,可以肯定以下几点:

  1、交易在同一个手机和同一个APP中进行的;

  2、交易过程中两笔金额不一致,第一笔400元,第二笔输入了金额为500元,交易请求可能是两笔新的交易;

  3、第二次交易实际消费的是第一张卡的账户金额。

  如此假设以下重放攻击:攻击者截获了第一笔交易的磁道数据和密码,在第二笔交易的时候替换了其中的磁道数据和密码信息,其他交易要素均是第二笔交易产生的,流程正常。

  如果是外挂终端组包的话,MAC计算在外挂终端中,第二次交易使用的应该是第二张卡的磁道数据且无法被替换。因此很有可能是在手机APP中组包,那么攻击者可能在替换外挂终端传输给APP磁道数据和密码后,请求了外挂终端中的MAC密钥,整个交易报文的唯一性按照正常机制实现,通过后台验证也能通过。整个攻击流程如下:

  1、正常交易监控密文磁道数据和密文PIN;

  2、用修改后的报文调外挂设备算MAC接口算MAC;

  3、发送篡改后的报文给后台。

  整个攻击都是攻手机端,难度低。

  简而言之就是黑客通过改造了配合收款的手机上的APP程序,偷取了上一次你合法交易中使用的卡号和密码后,假造了一笔真实的交易骗过了银行验证扣了你卡上的钱。依据银联关于mPOS的相关要求这种情况是不可能发生的,因为手机APP是不允许接触这些数据的,因此视频中的这台是伪mPOS,一定不是认证的安全mPOS产品。

  风险防范:

  本案例中出现的问题是不符合银联对mPOS的安全规范,组包在手机客户端中,导致攻击的难度降低。

  对于用户本身,防范案例一和案例三的最好方式,是使用芯片卡,首先,芯片卡较磁条卡更难被复制。其次,芯片卡的刷卡交易过程中的数据如果被窃取,无法被直接用于制造伪卡。

  总结

  “天上是不会掉馅儿饼的“,如果从安全方面考虑,笔者认为这句话时时是真理,宁愿不要真优惠也不要假送礼,目的不单纯的骗子可不会照顾单纯的用户的感受呢。

  作者供职于多普勒斯实验室(DPLSLab),总部位于北京。实验室拥有一支在信息安全领域,专业的技术团队,熟悉和了解国际国内先进的技术标准规范,掌握国际主流的先进检测技术和方法,积累了丰富的检测技术经验。 其中有多人获得国家认证认可监督管理委员会授权人员(CNAS)、注册信息安全专家(CISP)、国际信息系统审计师(CISA)、银联卡收单机构账户信息安全评估师(ADSS)、PCI信息安全专业评估(PCI-DSS)、PCI授权专业漏洞扫描人员(PCI-ASV)等资质,并聘有多位信息安全专家和安全顾问。

  聚焦移动安全、智能终端安全,欢迎关注“安知讯”微信公众平台:


展开全文
相关阅读
资讯查询取消