电子支付的安全漏洞
时间:2020-09-14 08:02:23 来源:达达文档网 本文已影响 人 
打开文本图片集
无论是在收银台、加油站还是在互联网上,各种非现金支付方式已经成为了我们日常生活的一部分,在部分年轻人的生活中其所占比例甚至已经超过了现金支付的部分。然而,现有的电子支付方式相对落后,金融机构正尝试采用智能手机等无线通信技术来实现更快速的支付功能,特别是NFC(Near Field Communication,中文名称为近场通信,又称为近距离无线通信)更是被寄予了厚望。但是无线支付技术的安全性如何呢?CHIP将告诉大家NFC已知的安全问题,揭示攻击者是如何捕获NFC信用卡数据并进行盗用的。
除了新的技术,其他电子支付方式也同样面临危险,各种新的攻击手段层出不穷,被操纵的自动柜员机(ATM)、被破解的银行终端、隐藏在QR码背后的钓鱼网站,支付危险越来越多。那么我们该如何应对这些危险呢?
NFC:钱是这样被偷走的
NFC是由RFID(Radio Frequency Identification)演变而来的技术,所有数据都存储在一个小型的RFID芯片中,芯片上的信用卡数据是未经加密的,任何人都可以轻松读取其中的数据。在华盛顿的黑客大会上,黑客克里斯汀佩吉特介绍了盗取NFC信用卡号码和到期时间的方法,而现如今只需在智能手机上安装适当的应用程序就可以捕获这些数据。为了测试相关的技术是如何盗取NFC芯片中的信用卡数据的,我们在支持NFC技术的三星Galaxy Nexus手机上安装了相应的应用程序,并尝试收集编辑部人员的信用卡数据。实践证明,在手机和信用卡直接接触的情况下,我们可以轻松地获得信用卡的数据。不过,我们知道,根据NFC的ISO标准,读取设备完全可以在100mm的距离内读取数据,而不需要接触。
与此同时,我们也发现了一个值得庆幸的事情,那就是存储在NFC芯片上的一个重要信息,信用卡的3位数字CVV(信用卡验证值)代码没有能被盗取。因此,如果小偷要利用偷来的NFC信用卡数据在互联网上消费,那么他只能够在一些不要求输入CVV验证代码的网店上使用。因此,NFC芯片数据被盗的风险并不比在网上或在餐厅中使用信用卡大,我们在购物站点上消费时所提供的信用卡数据远比NFC芯片泄漏的要多。在餐厅,我们需要将信用卡交给商家,商家可以盗取包括CVV验证代码在内的所有数据,甚至还可以复制我们的信用卡。唯一不同的是盗取NFC信用卡数据的攻击者可以不用接触我们的信用卡,这加大了我们保护信用卡数据的难度。
要避免陌生人读取信用卡的数据,有一个简单的技巧,那就是用一个金属防护罩或铝箔屏蔽配备NFC芯片的银行卡。而要彻底避免可能因NFC芯片泄漏数据而产生的信用卡被盗用风险,则只能够依赖金融机构对于商家的规范化管理,例如确保信用卡必须在验证CVV代码之后方可使用。以往,国内大部分金融机构与国外的金融机构一样,用户无需为信用卡被盗用的损失负责,但是2012年法院出现判定持卡人必须为信用卡被盗用负部分责任的案例,在金融机构没有改变这种试图让持卡人为此负责的做法之前,是否应该拒绝使用NFC信用卡以避免可能存在的风险是一个值得深思的问题。
中继攻击:NFC攻击的明天
以色列特拉维夫大学的两名研究人员进一步揭示了无线通信支付方式的危险。按照研究人员的介绍,使用他们的中继攻击法,可以盗用NFC信用卡的所有数据,即使卡和读卡器之间使用了强大的身份验证和加密算法。
所谓的中继攻击,就是用一个自制的读卡器和假卡来实现攻击。黑客可以在被害人和银行终端之间通过中继器传输信用卡的数据,实时盗用被害人的信用卡数据进行交易。一个想象中的攻击场景:小偷接近一个带有NCF芯片信用卡的人,读卡器激活信用卡并将数据转发到附近的假卡上,并在同一时刻使用假卡冒充真卡进行交易。
据研究人员的介绍,中继攻击最大的困难是使用读卡器激活被攻击者身上的信用卡,因为根据相关的ISO标准规范,读卡器的有效读取距离只有100mm。不过,研究人员已经克服了这一困难,他们通过增强读卡器的发射信号强度,将有效读取距离加大到了500mm,并能通过软件过滤产生的干扰,实现了近乎完美的远距离数据传送。读卡器与假卡之间的数据传输距离可以长达50m,黑客可以在较远处的消费场所盗用被害人的信用卡数据进行消费。
幸好,目前这种攻击仍然只存在于技术层面上,因为它必须在NFC芯片的信用卡被广泛使用之后才可能出现。然而,这种方法让我们不难预见,未来NFC支付方式可能存在的危险有多高。
在线服务:窃取数据更容易
攻击在线服务站点是获得用户信息更简单的途径,只需要成功侵入一个网站的数据库,即可获得数以十万计的用户姓名、电子邮件、账户数据和信用卡号码。而大部分人在其他网站上也会使用同样的账号和密码,或者使用相关的信息作为网站取回密码的验证信息。因此攻击者可以通过收集到的信息,轻松地进入许多大型购物网站和电子支付站点的账户,获得这些账户里的钱。
在攻击者对入侵在线服务站点的兴趣越来越浓厚的同时,各大网站被黑客入侵,泄漏大量用户数据的丑闻也在频频发生。时至今日,泄漏用户数据的网站名单已经很长,而其中也包含大量国内的中文站点。基本上,用户在线存储的信用卡资料完全没有安全可言,许多在线服务站点在没有能力保护服务器安全的同时,也没有妥善地保护用户的个人信息。索尼公司的游戏站点在被黑客攻击之后,泄漏的不仅仅是用户的账户名和密码,甚至还包括用户的信用卡数据。该公司将这些对于用户来说万分重要的数据以未加密的形式存储在服务器上,唯一受到保护的仅有信用卡的CVV验证代码。
除了入侵网站数据库以外,攻击者还有许多方法可以盗取用户的个人信息,例如很多人所熟知的钓鱼邮件。
QR代码:图形化的恶意代码
对于钓鱼邮件或者钓鱼网站的链接,有经验的用户可以在鼠标指向链接时,在状态栏中观察链接的实际地址并发现可疑的蛛丝马迹,但是通过QR代码(二维码)隐藏的图形化链接,由于无法直接查看,所以即使有经验的用户也可能会毫无防备地打开。类似的攻击对于经验不足的用户将更加有效,在用户通过一个QR代码打开一个网站时,会更容易被带到一个钓鱼网站上。这并非危言耸听,2011年年底,安全公司卡巴斯基实验室已经在许多网站上发现了隐藏恶意代码的QR码。
国外电子支付服务站点PayPal也使用QR码来引导手机用户进行消费,开发人员清楚这些代码可能存在的危险。PayPal的QR代码只能用于官方的iOS和Android应用程序,这看起来似乎很安全。但其实危险仍然存在,因为智能手机本身可能存在病毒或者恶意软件,这对于智能手机来说并不是什么新鲜事。而在智能手机本身可能被窃取数据和控制的情况下,通过手机处理和操作一切数据都不再有任何安全性可言。
智能手机:刷卡的风险
智能手机的病毒与恶意软件除了可能影响QR码的应用安全以外,也会影响其他通过智能手机操作和验证的电子支付服务。
PayPal的“PayPal Here”以及国内的“卡拉卡”等电子支付方式允许用户在智能手机上通过麦克风端口连接一个读卡器,并安装相应的应用程序,让任何人都可以随时随地刷卡和接受他人的信用卡付款。这种电子支付方式极大地扩展了信用卡的使用范围,为许多用户提供了方便。但是类似的设备除了可能被滥用以外,还为攻击者提供了更多的机会,因为智能手机是很容易被操纵的,而恰恰绝大部分智能手机用户对于系统以及相关安全知识都一无所知。
攻击者只需要在智能手机系统的后台运行一个恶意软件,即可随意地复制刷卡信息。只要智能手机存在漏洞,这一原本极具吸引力的电子支付功能将变得非常危险。因而,如果无法确定智能手机的安全性,那么就需要谨慎地考虑是否使用类似的支付方式。
略读器:读取银行卡
磁条缺乏安全性是众所周知的事情,它已经被定位为落后过时的技术,但是时至今日大部分的信用卡和储值卡仍然必须依赖它。为了盗取银行卡磁条中的数据,攻击者使用被称为“略读”攻击的手段,在自动取款机上安装所谓的略读器来读取磁条信息。为此,许多银行正开始升级他们的自动取款机,例如使用被称为“蛙嘴”的特殊形状银行卡插入口,或者在银行卡插入插槽时增加抖动和抽搐的动作,让攻击者难以在卡槽上安装略读器,或者即便已经安装了略读器也无法正常地读取磁条。此外,银行逐渐加强了内部的安全机制,因而自动提款机的略读器攻击已经变得越来越少见了。根据银行所获得的信息,目前“略读”攻击已经逐渐从银行的自动取款机转移到超市等设备相对落后的地方。
此外,欧洲以及国内的许多金融机构,正开始推广集成EMC芯片的银行卡以取代使用磁条的银行卡,但是由于许多终端设备仍未更新换代成支持EMC的银行卡,因此许多EMC银行卡仍然带有磁条。而且,EMC芯片本身也存在一些安全隐患,早在2010年,剑桥大学的研究人员已经发现了EMC卡可能存在的安全漏洞,能够使用任意的密码验证被盗的银行卡。
在2011年12月1日,在加拿大温哥华的安全会议上,一些研究人员演示了如何通过一个非常薄的略读器窥探EMC卡的密码,不过,由于无法从EMC卡中读取到所有的信息,所以在没有原卡的情况下密码没有任何作用。
黑客远程攻击:破解终端
攻击自动取款机和其他的银行卡终端,通常需要在银行卡的终端设备上安装一个硬件,例如所谓的略读器。不过,柏林的安全研究实验室(SRLabs)的安全专家托马斯罗斯已经发现了一种不需要硬件即可实现攻击的方法,那就是直接入侵银行的终端设备。事实上,银行终端设备使用的系统同样可能存在安全漏洞,甚至它们有的还在使用我们耳熟能详的Windows系统。因而,攻击者只要能够知道终端设备的IP地址,就同样能够通过缓冲区溢出等漏洞攻击银行终端设备。
除此之外,也有一些攻击者通过银行卡读取器等银行终端,利用终端的调试接口直接进行破解。在终端设备被破解的情况下,用户的银行卡信息自然是一览无余,攻击者甚至还可以轻松地改变交易的内容,变更交易金额和窥探银行卡的密码。而对于用户来说,类似的攻击根本防不胜防。幸好,在银行终端被入侵导致用户银行账户出现问题时,金融机构很难将责任归咎于用户。
银行如何追查诈骗案
银行大多不愿意透露他们是如何保护自己免受攻击和发现数据窃贼的,根据安全专家提供的有限信息,金融机构安全专家通常会积极地与执法部门合作,尽快地发现可能存在的危险。银行通常采用自主研发的监控系统,实时收集系统内的各种交易信息,并有大量的人员专门负责从收集到的信息中发现可疑的交易。例如一个客户的信贷额度耗尽,并且这种消费方式和速度与其以往的习惯不同,在有疑问的情况下,银行通常会尽快联系客户确认其账户的安全。
如果出现几个存在共同点的案件,安全专家将尽快分析案件,找出其共同点和出现问题的原因。例如检测结果可能显示案件皆出现在加油站旁的某一台终端上,那么该终端设备可能被操纵。不过,根据银行安全专家的介绍,目前,大约75%的案件源自互联网,通常此类案件很难排查,更难以根除。
保护自己免受攻击
使用预付费卡
如果只是偶尔进行在线付款,那么使用预付费卡替代信用卡是比较好的选择,即使出现问题,我们损失的也只是卡内的有限资金。
保护:自动柜员机(ATM)、网上服务。
检查链接和QR代码
邮件中的链接必须仔细检查后才可以访问,鼠标停留在链接上时我们可以看到链接的真实地址。而QR码则需要专用的应用程序才能够检查其真实性,例如“Barcode Scanner”和“BeeTagg QR Reader”。
保护:在线服务、网上银行、本地数据。
电脑和手机都必须使用最新的防病毒软件
只有最新的防病毒软件才能够保护我们,除此之外,我们还必须为电脑准备能够恢复系统的救援光盘,例如“Sardu tool”(www.sarducd.it)。
保护:在线服务、网上银行、本地数据。
开启短信确提醒
开启所有银行和电子支付服务的短信提醒功能,确保在银行和电子支付账户资金出现变动时,能够在第一时间知道并及时进行处理。
保护:自动柜员机(ATM)、网上服务、网上银行。
使用多个密码和邮件地址
包含敏感信息的网上服务决不使用通用的密码,而且尽可能不要和其他网站使用同一个电子邮箱作为用户名,避免在电子邮箱受到攻击时波及其他网站的账户。
保护:在线服务。
处理意外事故
冻结银行卡
提前了解冻结银行卡需要的手续与注意事项,以便在银行账户出现异常时,能够在第一时间冻结账户资金,确保将损失降到最小。
信用卡盗刷
了解自己所使用的信用卡被盗用时的责任认定标准与追诉期限,在期限内定时检查信用卡对账单,及时发现并追回被盗资金。
使用电子支付服务的安全服务
检查自己所使用电子支付服务能够提供哪些额外的安全服务,开通一切能够增加安全性的服务,并提前了解账户被盗或者出现异常时的解决方法。
使用电子支付移动证书
支付宝等电子支付服务可以申请支付盾,这是一种存储在硬件上的移动证书,这样即使我们支付宝账户被盗,也不会损失任何资金。
窃贼如何盗用NFC卡
小偷接近一个带有NFC芯片信用卡的人,读卡器激活信用卡并将数据转发到附近的假卡上,再使用假卡以真卡的数据进行交易。
难以发现的略读器
EMC略读器背面是存储数据的零部件,略读器的正面与EMC的芯片接触。略读器是如此之薄,可以安装于各种银行卡插槽上,轻松读取插入的银行卡的密码。
带震动功能的宽阔插槽
银行为解决略读器的问题,会采用特殊设计的银行卡插槽。
破解终端设备
安全专家发现部分银行终端设备存在漏洞,通过漏洞可以渗透进终端,甚至能够通过互联网上的恶意软件进行操作。在德国大约有30万的银行终端设备受到影响。
安全监测
Targobank的安全监测系统,能够监控所有的交易,在出现可疑情况时发出警报。
境外购物支付方式
当我们在国外使用信用卡支付时,收款方依照当地银行认证的客户身份请求进行授权。请求通过网络运营商转发到服务提供商(收单银行)进行支付数据处理。信贷机构将请求发送到国内服务供应商,并从那里转发到银行总部,银行的客户数据处理中心将检查并给予我们的信用卡以授权,让我们可以成功完成支付。
