智慧型手機被盜刷,mPOS的安全性?

『 智慧型手機被盜刷!!! 』

規模較小的公司與商店都開始設計及導入 mPOS 這類型的裝置,請大家要多加留意安全性。

企業安全解決方案供應商 Positive Technologies 研究人員發現一個影響全球支付服務的安全漏洞,
黑心商家或者是駭客有機會在顧客藉由 mPOS 載具進行消費時,入侵其消費者的帳戶或是竊取信用卡相關資訊,
較進階一點的方式,駭客還可以修改客戶支付卡的金額,另外還能強迫消費者使用其他種方式來做付款,POS 機的廠商真的要注意!

會有這樣的情況發生,是近期較熱門的移動式支付讀卡機 (mPOS),
駭客趁機在手機於 mPOS 之間,利用中間人攻擊手法 (MiTM)。
當消費者準備使用手機做信用卡交易的途中,會透過手機的藍芽裝置進行信用卡的交易,
這時駭客會藉機在傳輸時利用攻擊程式進行監聽,並且能夠有效的干擾磁條通過後的支付金額,也有機會遠端控制手機程式。

這是因為有些mPOS讀卡機在執行藍牙傳輸時,沒有採用較安全性的機制進行配對,讓mPOS暴露了不少的安全漏洞,
Positive Technologies供應商建議商家應避免採用磁卡交易,而是利用晶片+PIN碼、晶片+簽名或非接觸式支付選項。

小編認為磁卡交易在手機上才算是新一代的消費模式,改善方式不是單純避免磁卡交易才算有效解決,
應該改變及優化藍芽裝置的加密機制,或者在進行載具及網路傳輸時,
增加多因子的身份認證,例如多一組帳號確認、手機簡訊通知,可降低駭客入侵及修改金額的機會。

安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司

https://www.ithome.com.tw/news/125139
https://latesthackingnews.com/…/vulnerability-discovered-m…/

 

acceptable formats for truncation of primary account numbers pci dss 2021

支付卡營運標準的安全管理層次與精神

大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 “這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。

攻擊增加了 475%

SamSam 勒索軟體賺很大! 3年內成功敲詐近 600 萬美元

各種系統的漏洞未及時更新,常常是駭客利用各式工具掃描進而入侵的管道之一。一旦入侵成功,再進一步搜尋不安全的,或是破解服務安裝,
例如 Remote Desktop Protocol (RDP),然後遂行勒索、破壞或竊取的目的。
駭客會利用安全漏洞來取得對系統的特權存取。 
許多這些漏洞由供應商提供的安全修補程式來修復,這些修補程式必須透過系統管理者來進行安裝。
所有系統必須具有所有適當的軟體修補程式,以防止駭客和惡意軟體對持卡人資料的竊取和破壞。
在 PCI DSS 標準中:
6.2 Ensure that all system components and software are protected from known vulnerabilities by installing applicable vendor-supplied security patches. Install critical security patches within one month of release.
安裝由供應商所提供的安全修補程式,確保所有系統組件和軟體免受已知漏洞的影響。並且在發布後一個月內安裝關鍵安全修補程式。

而對於遠端存取的行為,PCI DSS 標準亦規定:
2.3 Encrypt all non-console administrative access using strong cryptography.
所有非終端 (遠端) 管理存取必須使用强加密技術對過程加密
8.1.5 Manage IDs used by third parties to access, support, or maintain system components via remote access as follows:
• Enabled only during the time period needed and disabled when not in use.
• Monitored when in use.
對於遠端連線使用都有強制的要求,以確保遠端連線使用受到嚴密的管制和監控,避免狀況發生。

安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司

https://www.ithome.com.tw/news/124904

Reddit 遭駭了,Two Factor 被破解!

今天小編 ”讀過”了這則新聞想起, 由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中,也要求在遠端登入 (Remote Login) CDE 所在的網路,或是 Non-Console 登入主機時均需符合多重身份驗證 (multi-factor authentication)的安全要求。

但 Reddit 這個案例,可能是透過社交工程、身分資料盜竊後對電信公司進行 SIM 卡重新申請而破解了原來帳號綁定的 Two Factor (SMS) 機制,這個也就需要提醒大家,其實兩年前 NIST 就已經建議大家 Two-Factor 安全機制別再用 SMS (Drafted Digital Identity Guidelines, NIST,但後來有提出解釋軟化了原來的措辭) ,所以無論 SMS , SIM 卡是透過社交工程、資料盜竊向電信申請換卡,或是透過 SS7 可能的問題攔截到,目前均可以透過 APP 或是非 SMS 的雙因認證來避開這個風險。

安律 PCI DSS 是金融支付安全產業最佳的顧問諮詢及審查服務公司

 

 

來源網址

https://www.ithome.com.tw/news/124948

https://blog.vasco.com/authentication/sms-authentication/