央视关注支付安全 315曝光智能支付终端遭盗刷(含视频)


2016-3-17 9:01来源:移动支付网    作者:卢华秋

  2016央视315晚会曝光了部分智能支付终端存在安全漏洞,在全国观众面前展示了一番盗刷银行卡的“新技能”。尽管在许多支付业内人士看来关于盗刷并不陌生,这个技能科普简直弱爆了。但考虑到央视受众是全国各地老百姓,刷卡消费又和人民生活息息相关,“盗刷”上榜合情合理。

  和“卖花生油”那个低俗小品中的改装POS机盗刷不一样,智能支付终端中的盗刷显得更高级一点。

  央视原话如下:

  当消费者在有漏洞的智能POS机上刷卡(磁条)消费,消费成功后就会收到短信通知,然后消费者离开。随后攻击者可以利用的这个漏洞发起重放攻击,重放并不需要被盗刷者的银行卡,也不需要他的密码,只需要另外一张卡来触发POS机即可。攻击者接着刷任意磁条卡(不一定要银行卡)触发,然后随意输入密码,就可以消费他的钱了。

  在这里,重放攻击指攻击者发送一个目的主机已接收过的包(视频中第一次刷卡),来达到欺骗系统的目的,该攻击主要用于身份认证过程,破坏认证的安全性。重放攻击在任何网络通讯中都是有可能发生的,并且各种密码加密(视频中密码随意输入)是无法阻止重放攻击的。重放攻击是黑客常用的攻击手段之一,特别是在认证的过程中,用于认证用户身份所接收的包,而支付正好也是一个认证过程。但是想要阻止重放攻击也并不难,因此智能POS厂商在安全上确实需要下更多的功夫。

  安全问题是智能POS厂商、甚至是支付产业链上所有企业都要面对的课题。大名鼎鼎的Square也曾面临盗刷威胁,此前有研究团队声称,已找到了禁用Square刷卡器的安全措施并灌入恶意数据的方法,盗刷全程仅需10分钟。而Square辩称此法只对老式的磁条卡有效,读卡器本身不会有任何问题。因此银行卡盗刷问题不会成为智能POS的绊脚石,反而会促进智能POS更关注安全问题。可以预见,国内智能POS厂商将在安全上做更多文章。毕竟目前国内支付环境,无论是消费者还是相关厂商在支付安全方面都有待加强,只有当这种意识达到了一定的程度,智能POS体系才算完善。

  当然在这之前,一款合格的POS机,不管智能POS还是传统POS都是要经过银联方面相关认证,以获得《银联卡受理终端产品安全认证证书》,此举也可以理解为把安全的第一道关。但由于认证费用等问题,市面上的仍有很大一部分POS没有认证,消费者需要认准。

  最后要说的是,尽管重放攻击不同于对POS的粗暴改造,但他们攻击的对象却是相同的,那就是磁条卡。芯片卡和磁条卡在安全级别上全部不在一个量级,但在日常中刷磁条卡的消费者数不胜数。因此移动支付网小编认为央视此次315晚会的关于智能POS攻击、改造POS、“送花生油的秘密”等等,还不如让撒贝宁在电视上来一句:防盗刷,请用芯片卡!

评论加载中
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2022 移动支付网    粤ICP备11061396号    粤公网安备 44030602000994号
深圳市宇通互联信息技术有限公司    地址:深圳市宝安区新安街道28区宝安新一代信息技术产业园C座606